CRIPTON@protonmail.com или (если не получили ответа больше суток) сюда Criolo2016@yandex.ru

[DeMost]

Здравствуйте!

 

Столкнулись со следующей проблемой.

Через RDP был взломан сервер. Все данные зашифрованы. Файлы с данными получили расширение CPT.

Появились файлы PAROL.txt. Вот содержимое файла:

------------------------------------------

ВНИМАНИЕ,ВАШИ ФАЙЛЫ,ДОКУМЕНТЫ,ФОТО,АРХИВЫ И ПРОЧАЯ ИНФОРМАЦИЯ ЗАШИФРОВАНЫ !!!
==================================================================================
ДЛЯ РАСШИФРОВКИ ФАЙЛОВ,ВАМ НЕОБХОДИМО НАПИСАТЬ НАМ НА ПОЧТУ
CRIPTON@protonmail.com или (если не получили ответа больше суток) сюда Criolo2016@yandex.ru
============================================================================================
ПОПЫТКИ ДЕШИФРОВАТЬ ФАЙЛЫ НЕ ИМЕЯ ОРИГИНАЛЬНОГО КЛЮЧА - ПРИВЕДУТ К ПОРЧЕ ФАЙЛОВ !!!
ТАК ЖЕ,РАСШИФРОВКА ВОЗМОЖНА НЕ ПОЗЖЕ 96 ЧАСОВ С МОМЕНТА ЗАШИФРОВКИ ВАШИХ ФАЙЛОВ !!!
====================================================================================
НИ ПЕРЕУСТАНОВКА WINDOWS, НИ АНТИВИРУСЫ, УЖЕ НЕ ДЕШИФРУЮТ ВАШИ ФАЙЛЫ !!!
====================================================================================
ДЛЯ ГАРАНТИИ РАСШИФРОВКИ МОЖЕМ ДЕШИФРОВАТЬ ОДИН ФАЙЛ КОТОРЫЙ ПРИШЛЕТЕ НАМ И ВЫШЛЕМ
ВАМ ОБРАТНО !!!
====================================================================================



УКАЗЫВАЙТЕ СВОЙ ID НОМЕР


ВАШ ID ********
========================

------------------------------------------

 

Во вложении файлы с результатом работы программы FRST64.

 

Прошу помощи в расшифровке данных.

Addition.zip

FRST.zip

Изменено 15 мая, 2017 пользователем DeMost

[Sandor]

Здравствуйте!

 

Начните с логов по правилам:

Порядок оформления запроса о помощи

[DeMost]

Здравствуйте!

 

Начните с логов по правилам:

Порядок оформления запроса о помощи

1. На сервере установлен лицензионный Kaspersky Enterprise Security.

Проверили всем доступными средствами: KVRT DrWeb CureIt, MBAM,AdwCleaner. Найдены и удалены незначительные мелочи.

2. Лог прилагаю

CollectionLog-2017.05.15-17.12.zip

[Sandor]

Проверьте сделана ли у Вас эта настройка.

 

Файл

C:\Users\Мультибум1\Desktop\PAROL.txt

и пару зашифрованных офисных документов упакуйте и прикрепите к следующему сообщению.

 

Далее:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PAROL.txt [2017-05-14] ()
  Startup: C:\Users\Бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PAROL.txt [2017-05-14] ()
  GroupPolicy: Restriction <======= ATTENTION
  GroupPolicyScripts: Restriction <======= ATTENTION
  2017-05-14 04:14 - 2017-05-14 00:42 - 00001096 _____ C:\Users\Мультибум1\Desktop\PAROL.txt
  2017-05-14 04:11 - 2017-05-14 00:42 - 00001096 _____ C:\Users\Менеджер1\Desktop\PAROL.txt
  2017-05-14 04:05 - 2017-05-14 00:42 - 00001096 _____ C:\Users\Администратор\Desktop\PAROL.txt
  2017-05-14 04:04 - 2017-05-14 00:42 - 00001096 _____ C:\Users\Менеджер\Desktop\PAROL.txt
  2017-05-14 04:02 - 2017-05-14 00:42 - 00001096 _____ C:\Users\Бухгалтер\Desktop\PAROL.txt
  2017-05-14 04:00 - 2017-05-14 00:42 - 00001096 _____ C:\Users\backup\Desktop\PAROL.txt
  2017-05-14 03:59 - 2017-05-14 00:42 - 00001096 _____ C:\Users\Administrator\Desktop\PAROL.txt
  2017-05-14 03:52 - 2017-05-14 00:42 - 00001096 _____ C:\PAROL.txt
  2017-05-14 03:22 - 2017-05-14 00:42 - 00001096 _____ C:\Users\aspnet\Downloads\PAROL.txt
  2017-05-14 03:22 - 2017-05-14 00:42 - 00001096 _____ C:\Users\aspnet\Documents\PAROL.txt
  2017-05-14 03:22 - 2017-05-14 00:42 - 00001096 _____ C:\Users\aspnet\AppData\Roaming\PAROL.txt
  2017-05-14 03:22 - 2017-05-14 00:42 - 00001096 _____ C:\Users\aspnet\AppData\LocalLow\PAROL.txt
  2017-05-14 03:22 - 2017-05-14 00:42 - 00001096 _____ C:\Users\aspnet\AppData\Local\PAROL.txt
  2014-01-24 13:35 - 2014-01-24 13:35 - 0003584 _____ () C:\Users\Programmer\AppData\Local\Temp\eea5c842-c780-445e-b58d-88dc2c0f7639.exe
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

 

Подробнее читайте в этом руководстве.

[DeMost]

Проверьте сделана ли у Вас эта настройка.

Файл

C:\Users\Мультибум1\Desktop\PAROL.txt

и пару зашифрованных офисных документов упакуйте и прикрепите к следующему сообщению.

 

Как я понимаю, эта настройка только для рабочих станций. На рабочих станциях эта настройка нами не делалась, используются параметры по умолчанию. Но и рабочие станции не пострадали, только сервер.

 

Во вложении файл PAROL.txt, два зашифрованных офисных документа и файл Fixlog.txt.

files.zip

[Sandor]

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

[Sandor]

Как я понимаю, эта настройка только для рабочих станций

Вот настройка для серверов.

[DeMost]

 

Как я понимаю, эта настройка только для рабочих станций

Вот настройка для серверов.

 

 

В любом случае, спасибо за информацию и помощь!

То, чем нас зашифровали, называется ccrypt, ключ умело удалили после шифрования всех файлов, обнулили свободное место на диске.

Мне не понятно, для чего вся эта активность на форуме, если уровень шифрования и умелость шифровальщиков достигли такого уровня, что вся предыдущая переписка была и есть бесполезна. Реально в большинстве случаев помогает только восстановление из резервной копии.