Перейти к содержанию
Летний корпоратив «Лаборатории Касперского» 2025. Как попасть?

repairme2017@keemail.me зашифровал windows server 2008 r2

shad
 Поделиться

Рекомендуемые сообщения

shad Новичок

shad

Опубликовано
Опубликовано (изменено)

Добрый день! Шифровальщик зашифровал все файлы на сервере.

All your important files were encrypted on this computer.
You can verify this by click on see files an try open them. 

Encrtyption was produced using unique KEY generated for this computer. 

To decrypted files, you need to otbtain private key. 
The single copy of the private key, with will allow you to decrypt the files, is locate on a secret server on the internet;
The server will destroy the key within 24 hours after encryption completed.

To retrieve the private key, you need to pay 1 bitcoins

Bitcoins have to be sent to this address: 14HNKK5uJeZ2rt96Pi9K2U6jbpCWyRrz5M

After you've sent the payment send us an email to : repairme2017@keemail.me  with subject : DECRYPT-ID-63100711(1BTC)
If you are  not familiar with bitcoin you can buy it from here :

SITE : www.localbitcoin.com

After we confirm the payment , we send the private key so you can decrypt your system.

Что можно сделать?

Спасибо!

CollectionLog-2017.05.22-11.28.zip

Addition.txt

FRST.txt

Изменено пользователем shad
Ссылка на комментарий
Поделиться на другие сайты
shad Новичок

shad

Опубликовано
  • Автор
Опубликовано

Добрый день! Шифровальщик зашифровал все файлы на сервере.

All your important files were encrypted on this computer.
You can verify this by click on see files an try open them. 

Encrtyption was produced using unique KEY generated for this computer. 

To decrypted files, you need to otbtain private key. 
The single copy of the private key, with will allow you to decrypt the files, is locate on a secret server on the internet;
The server will destroy the key within 24 hours after encryption completed.

To retrieve the private key, you need to pay 1 bitcoins

Bitcoins have to be sent to this address: 14HNKK5uJeZ2rt96Pi9K2U6jbpCWyRrz5M

After you've sent the payment send us an email to : repairme2017@keemail.me  with subject : DECRYPT-ID-63100711(1BTC)
If you are  not familiar with bitcoin you can buy it from here :

SITE : www.localbitcoin.com

After we confirm the payment , we send the private key so you can decrypt your system.

Что можно сделать?

Спасибо!

Уже не актуально, удалось полностью расшифровать, возможно кому-то это поможет https://www.bleepingcomputer.com/forums/t/608564/xorist-enciphered-ransomware-support-and-help-topic-how-to-decrypt-filestxt/

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Ну вирусы все равно есть. Потому не торопитесь убегать.

 

И для меня пришлите образец шифрованного doc или docx файла, если таковые остались.

 

Выполните скрипт в AVZ

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
  QuarantineFile('c:\programdata\windowsupgrade.exe','');
 DeleteFile('c:\programdata\windowsupgrade.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
Перезагрузку компьютера выполните вручную.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Ссылка на комментарий
Поделиться на другие сайты
shad Новичок

shad

Опубликовано
  • Автор
Опубликовано

 

И где новые логи?

 

+ не ответили

И для меня пришлите образец шифрованного doc или docx файла, если таковые остались.

 

Прошу прощения, отредактировал. файлов dox и docx  не было.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
shad Новичок

shad

Опубликовано
  • Автор
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

 

FRST.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
C:\ProgramData\WindowsUpgrade.txt

C:\ProgramData\WindowsUpgrade.txt.repairme2017@keemail.me

 

Вот эти два файла мне пришлите в архиве.

 

Там у Вас видны и другие нерасшифрованные файлы. И сообщения вымогателей для связи так и остались неудаленными.

Ссылка на комментарий
Поделиться на другие сайты
shad Новичок

shad

Опубликовано
  • Автор
Опубликовано

 

C:\ProgramData\WindowsUpgrade.txt

C:\ProgramData\WindowsUpgrade.txt.repairme2017@keemail.me

 

Вот эти два файла мне пришлите в архиве.

 

Там у Вас видны и другие нерасшифрованные файлы. И сообщения вымогателей для связи так и остались неудаленными.

 

WindowsUpgrade.zip

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Pristan
      Шифровальщик зашифровал сервера Window Server
      Автор Pristan
      Зашифровались почти все сервера на MS Windows server.
      Пример зашифрованных файлов, требования и логи во вложении.
       
      По логам событий windows был найден вредоносный файл, при необходимости могу предоставить.
       
      Спасибо.
      Addition.txt files.7z FRST.txt a77ce0eadd58f2-README.txt
    • jangur
      Зашифрованы файлы windows server 2019
      Автор jangur
      Добрый день. У меня взломали сервер  с 1С.  Все файлы зашифрованы. Прошу помощи. в архиве логи FRST и 2 зашифрованных файла с требованием
      FRST.zip зашифриТребование.zip
    • VaDima32
      Ночью зашифровали сервер на Windows Server 2019. Все файлы с расширением .SyMat
      Автор VaDima32
      Ночью зашифровали сервер на Windows Server 2019 с базой 1С. Все файлы с расширением .SyMat. Есть хоть какой-то шанс восстановить данные?
      Заранее спасибо. 
      Файлы Логов программы Farbar Recovery Scan Tool, а так же архив с двумя зашифрованными файлами и фаллом письма вымогателей прикрепляю.    
      Логи.zip Архив.zip
    • vasili_rb
      После трояна не работают службы обновления windows server 2022
      Автор vasili_rb
      Добрый вечер.
      Прошу помочь знающих людей.
      Поймал трояна. Антивирусом вычистил, но не работают службы обновления Windows.
      Заранее спасибо.
      Дополнение:
      возможно удалились службы...
      Либо троян что то с ними сделал...
    • Kireev
      Зашифровано ant_dec
      Автор Kireev
      Добрый вечер, зашифровало пару рабочих станций, на одной из них хранились старые БД, хотелось бы восстановить, хоть и понимаю, что шансов мало. Если я правильно понял, то эта дрянь создает пользователя user1 и в директорию music копирует свои файлы, а уже от туда начинает процессы свои "черные", есть еще 2 архива, но они 150+ мб. Там и экзешник ant2.exe, enc.exe, но они тоже зашифрованы.
      ProgramData.rar
×
×
  • Создать...