Перейти к содержанию

CRIPTON@protonmail.com или (если не получили ответа больше суток) сюда Criolo2016@yandex.ru

DeMost
 Share

Рекомендуемые сообщения

DeMost Новичок

DeMost

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

Столкнулись со следующей проблемой.

Через RDP был взломан сервер. Все данные зашифрованы. Файлы с данными получили расширение CPT.

Появились файлы PAROL.txt. Вот содержимое файла:

------------------------------------------

ВНИМАНИЕ,ВАШИ ФАЙЛЫ,ДОКУМЕНТЫ,ФОТО,АРХИВЫ И ПРОЧАЯ ИНФОРМАЦИЯ ЗАШИФРОВАНЫ !!!
==================================================================================
ДЛЯ РАСШИФРОВКИ ФАЙЛОВ,ВАМ НЕОБХОДИМО НАПИСАТЬ НАМ НА ПОЧТУ
CRIPTON@protonmail.com или (если не получили ответа больше суток) сюда Criolo2016@yandex.ru
============================================================================================
ПОПЫТКИ ДЕШИФРОВАТЬ ФАЙЛЫ НЕ ИМЕЯ ОРИГИНАЛЬНОГО КЛЮЧА - ПРИВЕДУТ К ПОРЧЕ ФАЙЛОВ !!!
ТАК ЖЕ,РАСШИФРОВКА ВОЗМОЖНА НЕ ПОЗЖЕ 96 ЧАСОВ С МОМЕНТА ЗАШИФРОВКИ ВАШИХ ФАЙЛОВ !!!
====================================================================================
НИ ПЕРЕУСТАНОВКА WINDOWS, НИ АНТИВИРУСЫ, УЖЕ НЕ ДЕШИФРУЮТ ВАШИ ФАЙЛЫ !!!
====================================================================================
ДЛЯ ГАРАНТИИ РАСШИФРОВКИ МОЖЕМ ДЕШИФРОВАТЬ ОДИН ФАЙЛ КОТОРЫЙ ПРИШЛЕТЕ НАМ И ВЫШЛЕМ
ВАМ ОБРАТНО !!!
====================================================================================



УКАЗЫВАЙТЕ СВОЙ ID НОМЕР


ВАШ ID ********
========================

------------------------------------------

 

Во вложении файлы с результатом работы программы FRST64.

 

Прошу помощи в расшифровке данных.

Addition.zip

FRST.zip

Изменено пользователем DeMost
Ссылка на комментарий
Поделиться на другие сайты
DeMost Новичок

DeMost

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Начните с логов по правилам:

Порядок оформления запроса о помощи

1. На сервере установлен лицензионный Kaspersky Enterprise Security.

Проверили всем доступными средствами: KVRT DrWeb CureIt, MBAM,AdwCleaner. Найдены и удалены незначительные мелочи.

2. Лог прилагаю

CollectionLog-2017.05.15-17.12.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Проверьте сделана ли у Вас эта настройка.

 

Файл

C:\Users\Мультибум1\Desktop\PAROL.txt

и пару зашифрованных офисных документов упакуйте и прикрепите к следующему сообщению.

 

Далее:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PAROL.txt [2017-05-14] ()
Startup: C:\Users\Бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PAROL.txt [2017-05-14] ()
GroupPolicy: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
2017-05-14 04:14 - 2017-05-14 00:42 - 00001096 _____ C:\Users\Мультибум1\Desktop\PAROL.txt
2017-05-14 04:11 - 2017-05-14 00:42 - 00001096 _____ C:\Users\Менеджер1\Desktop\PAROL.txt
2017-05-14 04:05 - 2017-05-14 00:42 - 00001096 _____ C:\Users\Администратор\Desktop\PAROL.txt
2017-05-14 04:04 - 2017-05-14 00:42 - 00001096 _____ C:\Users\Менеджер\Desktop\PAROL.txt
2017-05-14 04:02 - 2017-05-14 00:42 - 00001096 _____ C:\Users\Бухгалтер\Desktop\PAROL.txt
2017-05-14 04:00 - 2017-05-14 00:42 - 00001096 _____ C:\Users\backup\Desktop\PAROL.txt
2017-05-14 03:59 - 2017-05-14 00:42 - 00001096 _____ C:\Users\Administrator\Desktop\PAROL.txt
2017-05-14 03:52 - 2017-05-14 00:42 - 00001096 _____ C:\PAROL.txt
2017-05-14 03:22 - 2017-05-14 00:42 - 00001096 _____ C:\Users\aspnet\Downloads\PAROL.txt
2017-05-14 03:22 - 2017-05-14 00:42 - 00001096 _____ C:\Users\aspnet\Documents\PAROL.txt
2017-05-14 03:22 - 2017-05-14 00:42 - 00001096 _____ C:\Users\aspnet\AppData\Roaming\PAROL.txt
2017-05-14 03:22 - 2017-05-14 00:42 - 00001096 _____ C:\Users\aspnet\AppData\LocalLow\PAROL.txt
2017-05-14 03:22 - 2017-05-14 00:42 - 00001096 _____ C:\Users\aspnet\AppData\Local\PAROL.txt
2014-01-24 13:35 - 2014-01-24 13:35 - 0003584 _____ () C:\Users\Programmer\AppData\Local\Temp\eea5c842-c780-445e-b58d-88dc2c0f7639.exe
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
DeMost Новичок

DeMost

Опубликовано
  • Автор
Опубликовано

Проверьте сделана ли у Вас эта настройка.

Файл

C:\Users\Мультибум1\Desktop\PAROL.txt

и пару зашифрованных офисных документов упакуйте и прикрепите к следующему сообщению.

 

Как я понимаю, эта настройка только для рабочих станций. На рабочих станциях эта настройка нами не делалась, используются параметры по умолчанию. Но и рабочие станции не пострадали, только сервер.

 

Во вложении файл PAROL.txt, два зашифрованных офисных документа и файл Fixlog.txt.

files.zip

Ссылка на комментарий
Поделиться на другие сайты
DeMost Новичок

DeMost

Опубликовано
  • Автор
Опубликовано

 

Как я понимаю, эта настройка только для рабочих станций

Вот настройка для серверов.

 

 

В любом случае, спасибо за информацию и помощь!

То, чем нас зашифровали, называется ccrypt, ключ умело удалили после шифрования всех файлов, обнулили свободное место на диске.

Мне не понятно, для чего вся эта активность на форуме, если уровень шифрования и умелость шифровальщиков достигли такого уровня, что вся предыдущая переписка была и есть бесполезна. Реально в большинстве случаев помогает только восстановление из резервной копии.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • a.n.d.r.e.w
      Получил подарочек на Новый Год. Зараза зашифровала рабочий архив (((((((
      От a.n.d.r.e.w
      Привет, друзья. У меня небольшая организация, 5 рабочих мест, сисадмина нет. Есть виртуальный MS Server 2019 на VMWare работающий на одной из машин. Сервер используется как файловое хранилище и еще на нем sql работает для 1С. В конце декабря обновлял лицензию антивируса, оплатил Premium, который пытался установить и на сервер тоже, конечно не вышло. Думаю когда я искал браузер для установки антивируса тогда и налетел, потому что существующий IE не поддерживался. Последний раз работал 30.12.24, всё было норм. Когда решил заскочить проверить после НГ 01.01.25 обнаружил проблему. С машиной на которой стояла VMW всё хорошо, а в виртуальной системе все плохо. Я конечно все остановил сразу, но уже поздно было. Есть бэкап от октября, поэтому есть оригинальные файлы для анализа. Бесплатные утилиты пробовал, не получилось ничего, хотя может из-за кривых рук. Виртуальные диски скопировал. Монтировал напрямую, проверял антивирусом. Экспериментировал на копиях.
      Друзья, прошу помощи. Готов заплатить за работу!
       
      P.S. Во вложении несколько архивов
      xls, jpeg -в каждом два файла оригинал + шифрованный 
      pic - скриншоты
      htr - требования
      RFST - отчет Farbar Recovery Scan Tool 
      (местонахождение вируса выяснить не смог)
       
       
      htr.rar jpeg.rar pic.rar RFST.rar xls.rar
    • lowsport
      Доброго времени суток. Autoit v3 Script вирус подгружает систему на процентов 25. Открыть его расположение невозможно.
      От lowsport
      вирус скрин сдлать нельзя
    • Hiro
      ищу ответ
      От Hiro
      в диспетчере задач . появились странные надписи во вкладке автозагрузка приложений вот под таким названием 1. просто 29 надпись а второй .ea65e6ad-b624-4203-a7bb-da1859b71fae Ea65e6ad-b624-4203-a7bb-da1859b71fae вот такой что это может быть?
    • pokrac
      [Расшифровано]Вирус не дает открыть никакой файл, обои с надписью "напишите сюда "тг" для решения вопроса" Lock. перед каждым файлом
      От pokrac
      Давал ребенкоу поиграть в компьютер, что то скачивал, по итогу ночью открываю компьютер, а у меня все файлы с префиксом Lock. ничего не открывается, ну и смена обоев, с тг аккаунтом для решения вопроса
    • KL FC Bot
      Что делать, если получил письмо c секс-шантажом (sextortion) | Блог Касперского
      От KL FC Bot
      Слово sextortion, образованное из слов sex и extortion (вымогательство), изначально означало шантаж при помощи компрометирующих фото и видео, которые злоумышленник получал, либо взломав устройство жертвы, либо добровольно от нее самой. Хотя эта форма преступления до сих пор существует, сегодня гораздо чаще встречаются ситуации, в которых никаких пикантных документов у шантажиста нет. Некоторые разновидности sextortion «работают» даже на тех людях, которые доподлинно знают, что компромата с их участием быть физически не может. Разберем все современные разновидности секс-шантажа и способы противодействия ему.
      «Ваша жена вам изменяет»
      Свежая разновидность вымогательства вместо стыда давит на ревность. Одному из супругов приходит e-mail о том, что некая «компания по безопасности» получила доступ (читай, взломала) ко всем данным на личных устройствах второго супруга и в этих данных есть подробные доказательства супружеской неверности. Для получения более подробной информации и архива со скачанными данными предлагается пройти по ссылке. Разумеется, на самом деле у злоумышленников нет никаких данных, кроме имен и адресов e-mail двух супругов, а по ссылке можно только расстаться со своими деньгами.
       
      View the full article
×
×
  • Создать...