Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

CRIPTON@protonmail.com или (если не получили ответа больше суток) сюда Criolo2016@yandex.ru

DeMost
 Поделиться

Рекомендуемые сообщения

DeMost

DeMost

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

Столкнулись со следующей проблемой.

Через RDP был взломан сервер. Все данные зашифрованы. Файлы с данными получили расширение CPT.

Появились файлы PAROL.txt. Вот содержимое файла:

------------------------------------------

ВНИМАНИЕ,ВАШИ ФАЙЛЫ,ДОКУМЕНТЫ,ФОТО,АРХИВЫ И ПРОЧАЯ ИНФОРМАЦИЯ ЗАШИФРОВАНЫ !!!
==================================================================================
ДЛЯ РАСШИФРОВКИ ФАЙЛОВ,ВАМ НЕОБХОДИМО НАПИСАТЬ НАМ НА ПОЧТУ
CRIPTON@protonmail.com или (если не получили ответа больше суток) сюда Criolo2016@yandex.ru
============================================================================================
ПОПЫТКИ ДЕШИФРОВАТЬ ФАЙЛЫ НЕ ИМЕЯ ОРИГИНАЛЬНОГО КЛЮЧА - ПРИВЕДУТ К ПОРЧЕ ФАЙЛОВ !!!
ТАК ЖЕ,РАСШИФРОВКА ВОЗМОЖНА НЕ ПОЗЖЕ 96 ЧАСОВ С МОМЕНТА ЗАШИФРОВКИ ВАШИХ ФАЙЛОВ !!!
====================================================================================
НИ ПЕРЕУСТАНОВКА WINDOWS, НИ АНТИВИРУСЫ, УЖЕ НЕ ДЕШИФРУЮТ ВАШИ ФАЙЛЫ !!!
====================================================================================
ДЛЯ ГАРАНТИИ РАСШИФРОВКИ МОЖЕМ ДЕШИФРОВАТЬ ОДИН ФАЙЛ КОТОРЫЙ ПРИШЛЕТЕ НАМ И ВЫШЛЕМ
ВАМ ОБРАТНО !!!
====================================================================================



УКАЗЫВАЙТЕ СВОЙ ID НОМЕР


ВАШ ID ********
========================

------------------------------------------

 

Во вложении файлы с результатом работы программы FRST64.

 

Прошу помощи в расшифровке данных.

Addition.zip

FRST.zip

Изменено пользователем DeMost
DeMost

DeMost

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Начните с логов по правилам:

Порядок оформления запроса о помощи

1. На сервере установлен лицензионный Kaspersky Enterprise Security.

Проверили всем доступными средствами: KVRT DrWeb CureIt, MBAM,AdwCleaner. Найдены и удалены незначительные мелочи.

2. Лог прилагаю

CollectionLog-2017.05.15-17.12.zip

Sandor

Sandor

Опубликовано
Опубликовано

Проверьте сделана ли у Вас эта настройка.

 

Файл

C:\Users\Мультибум1\Desktop\PAROL.txt

и пару зашифрованных офисных документов упакуйте и прикрепите к следующему сообщению.

 

Далее:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PAROL.txt [2017-05-14] ()
Startup: C:\Users\Бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PAROL.txt [2017-05-14] ()
GroupPolicy: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
2017-05-14 04:14 - 2017-05-14 00:42 - 00001096 _____ C:\Users\Мультибум1\Desktop\PAROL.txt
2017-05-14 04:11 - 2017-05-14 00:42 - 00001096 _____ C:\Users\Менеджер1\Desktop\PAROL.txt
2017-05-14 04:05 - 2017-05-14 00:42 - 00001096 _____ C:\Users\Администратор\Desktop\PAROL.txt
2017-05-14 04:04 - 2017-05-14 00:42 - 00001096 _____ C:\Users\Менеджер\Desktop\PAROL.txt
2017-05-14 04:02 - 2017-05-14 00:42 - 00001096 _____ C:\Users\Бухгалтер\Desktop\PAROL.txt
2017-05-14 04:00 - 2017-05-14 00:42 - 00001096 _____ C:\Users\backup\Desktop\PAROL.txt
2017-05-14 03:59 - 2017-05-14 00:42 - 00001096 _____ C:\Users\Administrator\Desktop\PAROL.txt
2017-05-14 03:52 - 2017-05-14 00:42 - 00001096 _____ C:\PAROL.txt
2017-05-14 03:22 - 2017-05-14 00:42 - 00001096 _____ C:\Users\aspnet\Downloads\PAROL.txt
2017-05-14 03:22 - 2017-05-14 00:42 - 00001096 _____ C:\Users\aspnet\Documents\PAROL.txt
2017-05-14 03:22 - 2017-05-14 00:42 - 00001096 _____ C:\Users\aspnet\AppData\Roaming\PAROL.txt
2017-05-14 03:22 - 2017-05-14 00:42 - 00001096 _____ C:\Users\aspnet\AppData\LocalLow\PAROL.txt
2017-05-14 03:22 - 2017-05-14 00:42 - 00001096 _____ C:\Users\aspnet\AppData\Local\PAROL.txt
2014-01-24 13:35 - 2014-01-24 13:35 - 0003584 _____ () C:\Users\Programmer\AppData\Local\Temp\eea5c842-c780-445e-b58d-88dc2c0f7639.exe
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.

 

Подробнее читайте в этом руководстве.

DeMost

DeMost

Опубликовано
  • Автор
Опубликовано

Проверьте сделана ли у Вас эта настройка.

Файл

C:\Users\Мультибум1\Desktop\PAROL.txt

и пару зашифрованных офисных документов упакуйте и прикрепите к следующему сообщению.

 

Как я понимаю, эта настройка только для рабочих станций. На рабочих станциях эта настройка нами не делалась, используются параметры по умолчанию. Но и рабочие станции не пострадали, только сервер.

 

Во вложении файл PAROL.txt, два зашифрованных офисных документа и файл Fixlog.txt.

files.zip

DeMost

DeMost

Опубликовано
  • Автор
Опубликовано

 

Как я понимаю, эта настройка только для рабочих станций

Вот настройка для серверов.

 

 

В любом случае, спасибо за информацию и помощь!

То, чем нас зашифровали, называется ccrypt, ключ умело удалили после шифрования всех файлов, обнулили свободное место на диске.

Мне не понятно, для чего вся эта активность на форуме, если уровень шифрования и умелость шифровальщиков достигли такого уровня, что вся предыдущая переписка была и есть бесполезна. Реально в большинстве случаев помогает только восстановление из резервной копии.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...