Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Вирус шифровальщик на windows 2008 R2

vakym
 Поделиться

Рекомендуемые сообщения

vakym

vakym

Опубликовано
Опубликовано

Добрый день!

 

Сегодня с утра столкнулся с проблемой. 

Установлен гипервизор VMare Esxi 6.5

Установлены две гостевые системы windows 2008 r2

 

Сегодня с утра было обнаружено, что обе гостевые системы заражены вирусом шифровальщиком.

В корне директорий лежит файл след. содержания:

Содержание файла:

 

===============================# aes-ni ransomware #===============================

█████╗ ███████╗███████╗ ███╗ ██╗██╗
██╔══██╗██╔════╝██╔════╝ ████╗ ██║██║
███████║█████╗ ███████╗█████╗██╔██╗ ██║██║
██╔══██║██╔══╝ ╚════██║╚════╝██║╚██╗██║██║
██║ ██║███████╗███████║ ██║ ╚████║██║
╚═╝ ╚═╝╚══════╝╚══════╝ ╚═╝ ╚═══╝╚═╝

SPECIAL VERSION: NSA EXPLOIT EDITION

INTRO: If you are reading it, your server was attacked with NSA exploits.
Make World Safe Again.

SORRY! Your files are encrypted.
File contents are encrypted with random key (AES-256 bit; ECB mode).
Random key is encrypted with RSA public key (2048 bit).

We STRONGLY RECOMMEND you NOT to use any "decryption tools".
These tools can damage your data, making recover IMPOSSIBLE.

Also we recommend you not to contact data recovery companies.
They will just contact us, buy the key and sell it to you at a higher price.

If you want to decrypt your files, you have to get RSA private key.
In order to get private key, write here:

0xc030@protonmail.ch
0xc030@tuta.io
aes-ni@scryptmail.com

IMPORTANT: In some cases malware researchers can block our e-mails.
If you did not receive any answer on e-mail in 48 hours,
please do not panic and write to BitMsg (https://bitmsg.me) address:
BM-2cVgoJS8HPMkjzgDMVNAGg5TG3bb1TcfhN
or create topic on https://www.bleepingcomputer.com/and we will find you there.

If someone else offers you files restoring, ask him for test decryption.
Only we can successfully decrypt your files; knowing this can protect you from fraud.

You will receive instructions of what to do next.
You MUST refer this ID in your message:
#6879BFD24F06BCBA4795093925F8A4D1

Also you MUST send all ".key.aes_ni_0day" files from C:\ProgramData if there are any.


===============================# aes-ni ransomware #===============================

 

 

 

 

 

Есть-ли возможность расшифровать хотя бы часть фалов?(если нет, то в принципе не страшно. Есть бекапы. НО кое-чего в этих бекапах нету.)

Каким образом вирус мог проникнуть на зараженную машину? На обоих машинах отключен RDP. Есть только MSSQL Express. Подключения к нему разрешены только с определённых IP адресов. 

CollectionLog-2017.04.17-10.59.zip

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

Работа с дешифратором:

 

1. Скачайте архив с дешифратором и инструкцией на английском (все от авторов шифровальщика) по ссылке https://yadi.sk/d/NdMGw3jU3H7HMZи разархивируйте в отдельную папку.

Архив под паролем, чтобы не было ложных срабатываний антивируса. Пароль отправлен в ЛС.

2. Скачайте архив с ключом по ссылке https://www.sendspace.com/file/p9gkxpи разархивируйте в папку с дешифратором (для удобства).

3. Следуйте указаниям в файле с инструкцией для расшифровки.

 

Если ключей несколько, повторите п. 3 для каждого из них

 

По окончании расшифровки сообщите результат.

JohnnyBGoode91

JohnnyBGoode91

Опубликовано
Опубликовано

Доброе утро!
можете мне тоже пароль скинуть на файл ? абсолютно такая же проблема(((

Заранее спасибо!

regist

regist

Опубликовано
Опубликовано

@JohnnyBGoode91,

1) Создайте отдельную тему и выложите там логи по правилам раздела.

2) У вас возможно ещё остался вирус или адварь в системе.

3) Проблема похожа, но ID другой, а ключ расшифровки значит тоже.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • bulik
      Шифровальщик AES-NI
      Автор bulik
      Система Windows Server 2008 r2. Доступ по rdp. Почтой пользователи на сервере не пользуются.
      Заражение произошло предположительно 15.04.17.
      Результаты сканирования scan.rar и пример зараженного файла Реквизиты.docx.rar
    • Барановская
      XData
      Автор Барановская
      зашифрованы файлы `xdata`
      Помогите!!!!!!
    • guter76
      RakhniDecryptor не может расшифровать файлы ~xdata~
      Автор guter76
      Здравствуйте. Скачали последнюю версию RakhniDecryptor, но файлы не могут быть расшифрованы.
      Пишет "Невозможно подобрать пароль". Это может быть связано с тем, что расшифровать пытаемся не на том компьютере, на котором все было зашифровано?
       
      13:20:54.0671 0x15dc  AesNi: cannot restore session RSA keys 13:20:54.0671 0x15dc  Decryptor #0: cannot recover password 13:23:52.0135 0x0ed0  Deinitialize success  
    • Юлия ДНР
      Всё зашифровано ~xdata~
      Автор Юлия ДНР
      24.05.17 не открывая вообще браузеров, автоматически произвела обновление украинской программы для подачи отчетности в налоговую и пенсионный - M.E.Doc, после запуска обновлений поняла, что с ними поймала и вирус шифровальщик. Все файлы теперь имеют расширение ~xdata~. 
      Почитав подобные темы, креплю файлы которые также могут пригодиться -  FRST.txt и Addition.txt созданные с помощью Farbar Recovery Scan Tool (оба находятся в архиве "FRST_и_Addition").
      Креплю также зашифрованный файл и оригинальный, который был сохранён на съемном носителе, читала, что такие образцы нужны для дешифровки (архив - Заражённый и оригинал).
      Прошу помощи. И, если можно, объяснение как для тугодумов, что делать дальше
      И подскажите, планируется ли создать дешифровщик для этой гадости и просто стоит подождать или со всеми файлами можно попрощаться и удалить?
      Заранее благодарю. Юлия.CollectionLog-2017.05.28-18.58.zip
      FRST_и_Addition.rar
      Заражённый и оригинал.rar
    • ivankl
      Вирус шифровальщик ~xdata~
      Автор ivankl
      Добрый день, подхватил вирус 18-05-2017.
      KVRT определил его как Trojan-Ransom.Win32.AecHu.i
      Есть ли какой-то шанс расшифровать файлы ?
      Для примера в архиве 2 зашифрованых вордовских файла.
      CollectionLog-2017.05.22-22.58.zip
      docs.rar
×
×
  • Создать...