xorist repairme2017@keemail.me зашифровал windows server 2008 r2

22 мая, 2017

Добрый день! Шифровальщик зашифровал все файлы на сервере.

All your important files were encrypted on this computer.
You can verify this by click on see files an try open them. 

Encrtyption was produced using unique KEY generated for this computer. 

To decrypted files, you need to otbtain private key. 
The single copy of the private key, with will allow you to decrypt the files, is locate on a secret server on the internet;
The server will destroy the key within 24 hours after encryption completed.

To retrieve the private key, you need to pay 1 bitcoins

Bitcoins have to be sent to this address: 14HNKK5uJeZ2rt96Pi9K2U6jbpCWyRrz5M

After you've sent the payment send us an email to : repairme2017@keemail.me  with subject : DECRYPT-ID-63100711(1BTC)
If you are  not familiar with bitcoin you can buy it from here :

SITE : www.localbitcoin.com

After we confirm the payment , we send the private key so you can decrypt your system.

Что можно сделать?

Спасибо!

CollectionLog-2017.05.22-11.28.zip

Addition.txt

FRST.txt

Изменено 22 мая, 2017 пользователем shad

22 мая, 2017

Добрый день! Шифровальщик зашифровал все файлы на сервере.

All your important files were encrypted on this computer.
You can verify this by click on see files an try open them. 

Encrtyption was produced using unique KEY generated for this computer. 

To decrypted files, you need to otbtain private key. 
The single copy of the private key, with will allow you to decrypt the files, is locate on a secret server on the internet;
The server will destroy the key within 24 hours after encryption completed.

To retrieve the private key, you need to pay 1 bitcoins

Bitcoins have to be sent to this address: 14HNKK5uJeZ2rt96Pi9K2U6jbpCWyRrz5M

After you've sent the payment send us an email to : repairme2017@keemail.me  with subject : DECRYPT-ID-63100711(1BTC)
If you are  not familiar with bitcoin you can buy it from here :

SITE : www.localbitcoin.com

After we confirm the payment , we send the private key so you can decrypt your system.

Что можно сделать?

Спасибо!

Уже не актуально, удалось полностью расшифровать, возможно кому-то это поможет https://www.bleepingcomputer.com/forums/t/608564/xorist-enciphered-ransomware-support-and-help-topic-how-to-decrypt-filestxt/

22 мая, 2017

Ну вирусы все равно есть. Потому не торопитесь убегать.

И для меня пришлите образец шифрованного doc или docx файла, если таковые остались.

Выполните скрипт в AVZ

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
  QuarantineFile('c:\programdata\windowsupgrade.exe','');
 DeleteFile('c:\programdata\windowsupgrade.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

Перезагрузку компьютера выполните вручную.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

23 мая, 2017

Добрый вечер!

[KLAN-6288863126]

Логи прикрепил

CollectionLog-2017.05.23-22.55.zip

Изменено 23 мая, 2017 пользователем shad

23 мая, 2017

И где новые логи?

+ не ответили

И для меня пришлите образец шифрованного doc или docx файла, если таковые остались.

23 мая, 2017

И где новые логи?

+ не ответили

И для меня пришлите образец шифрованного doc или docx файла, если таковые остались.

Прошу прощения, отредактировал. файлов dox и docx не было.

23 мая, 2017

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

23 мая, 2017

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

FRST.zip

23 мая, 2017

C:\ProgramData\WindowsUpgrade.txt
C:\ProgramData\WindowsUpgrade.txt.repairme2017@keemail.me

Вот эти два файла мне пришлите в архиве.

Там у Вас видны и другие нерасшифрованные файлы. И сообщения вымогателей для связи так и остались неудаленными.

23 мая, 2017

C:\ProgramData\WindowsUpgrade.txt
C:\ProgramData\WindowsUpgrade.txt.repairme2017@keemail.me

Вот эти два файла мне пришлите в архиве.

Там у Вас видны и другие нерасшифрованные файлы. И сообщения вымогателей для связи так и остались неудаленными.

WindowsUpgrade.zip

xorist repairme2017@keemail.me зашифровал windows server 2008 r2

Рекомендуемые сообщения

shad

shad

thyrex

shad

thyrex

shad

thyrex

shad

thyrex

shad

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum