Перейти к содержанию

repairme2017@keemail.me зашифровал windows server 2008 r2

shad
 Share

Рекомендуемые сообщения

shad Новичок

shad

Опубликовано
Опубликовано (изменено)

Добрый день! Шифровальщик зашифровал все файлы на сервере.

All your important files were encrypted on this computer.
You can verify this by click on see files an try open them. 

Encrtyption was produced using unique KEY generated for this computer. 

To decrypted files, you need to otbtain private key. 
The single copy of the private key, with will allow you to decrypt the files, is locate on a secret server on the internet;
The server will destroy the key within 24 hours after encryption completed.

To retrieve the private key, you need to pay 1 bitcoins

Bitcoins have to be sent to this address: 14HNKK5uJeZ2rt96Pi9K2U6jbpCWyRrz5M

After you've sent the payment send us an email to : repairme2017@keemail.me  with subject : DECRYPT-ID-63100711(1BTC)
If you are  not familiar with bitcoin you can buy it from here :

SITE : www.localbitcoin.com

After we confirm the payment , we send the private key so you can decrypt your system.

Что можно сделать?

Спасибо!

CollectionLog-2017.05.22-11.28.zip

Addition.txt

FRST.txt

Изменено пользователем shad
Ссылка на комментарий
Поделиться на другие сайты
shad Новичок

shad

Опубликовано
  • Автор
Опубликовано

Добрый день! Шифровальщик зашифровал все файлы на сервере.

All your important files were encrypted on this computer.
You can verify this by click on see files an try open them. 

Encrtyption was produced using unique KEY generated for this computer. 

To decrypted files, you need to otbtain private key. 
The single copy of the private key, with will allow you to decrypt the files, is locate on a secret server on the internet;
The server will destroy the key within 24 hours after encryption completed.

To retrieve the private key, you need to pay 1 bitcoins

Bitcoins have to be sent to this address: 14HNKK5uJeZ2rt96Pi9K2U6jbpCWyRrz5M

After you've sent the payment send us an email to : repairme2017@keemail.me  with subject : DECRYPT-ID-63100711(1BTC)
If you are  not familiar with bitcoin you can buy it from here :

SITE : www.localbitcoin.com

After we confirm the payment , we send the private key so you can decrypt your system.

Что можно сделать?

Спасибо!

Уже не актуально, удалось полностью расшифровать, возможно кому-то это поможет https://www.bleepingcomputer.com/forums/t/608564/xorist-enciphered-ransomware-support-and-help-topic-how-to-decrypt-filestxt/

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Ну вирусы все равно есть. Потому не торопитесь убегать.

 

И для меня пришлите образец шифрованного doc или docx файла, если таковые остались.

 

Выполните скрипт в AVZ

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
  QuarantineFile('c:\programdata\windowsupgrade.exe','');
 DeleteFile('c:\programdata\windowsupgrade.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
Перезагрузку компьютера выполните вручную.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

И где новые логи?

+ не ответили

И для меня пришлите образец шифрованного doc или docx файла, если таковые остались.

Ссылка на комментарий
Поделиться на другие сайты
shad Новичок

shad

Опубликовано
  • Автор
Опубликовано

 

И где новые логи?

 

+ не ответили

И для меня пришлите образец шифрованного doc или docx файла, если таковые остались.

 

Прошу прощения, отредактировал. файлов dox и docx  не было.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
shad Новичок

shad

Опубликовано
  • Автор
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

 

FRST.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
C:\ProgramData\WindowsUpgrade.txt

C:\ProgramData\WindowsUpgrade.txt.repairme2017@keemail.me

 

Вот эти два файла мне пришлите в архиве.

 

Там у Вас видны и другие нерасшифрованные файлы. И сообщения вымогателей для связи так и остались неудаленными.

Ссылка на комментарий
Поделиться на другие сайты
shad Новичок

shad

Опубликовано
  • Автор
Опубликовано

 

C:\ProgramData\WindowsUpgrade.txt

C:\ProgramData\WindowsUpgrade.txt.repairme2017@keemail.me

 

Вот эти два файла мне пришлите в архиве.

 

Там у Вас видны и другие нерасшифрованные файлы. И сообщения вымогателей для связи так и остались неудаленными.

 

WindowsUpgrade.zip

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • leksstav
      Alt-Linux-server-10.2 + mariadb-server-10.6.19
      От leksstav
      Всех приветствую !

      Подскажите куда копать в плане устранения ошибки.

      Имеем на борту:

      1) Alt-Linux-server-10.2
      2) mariadb-server-10.6.19

      При пустом файле my.cnf mysql запускается с таким логом:
       
      2024-10-28 12:22:16 0 [Note] Starting MariaDB 10.6.19-MariaDB-alt1 source revision server_uid Zv4jGM3BmfGDe4+uFbWEwRNyfm0= as process 4957 2024-10-28 12:22:16 0 [Note] Plugin 'InnoDB' is disabled. 2024-10-28 12:22:16 0 [Note] Plugin 'FEEDBACK' is disabled. 2024-10-28 12:22:16 0 [Note] Starting MariaDB 10.6.19-MariaDB-alt1 source revision server_uid Zv4jGM3BmfGDe4+uFbWEwRNyfm0= as process 5426 2024-10-28 12:22:16 0 [Note] InnoDB: Compressed tables use zlib 1.3.1 2024-10-28 12:22:16 0 [Note] InnoDB: Number of pools: 1 2024-10-28 12:22:16 0 [Note] InnoDB: Using crc32 + pclmulqdq instructions 2024-10-28 12:22:16 0 [Note] InnoDB: Using Linux native AIO 2024-10-28 12:22:16 0 [Note] InnoDB: Initializing buffer pool, total size = 134217728, chunk size = 134217728 2024-10-28 12:22:16 0 [Note] InnoDB: Completed initialization of buffer pool 2024-10-28 12:22:16 0 [Note] InnoDB: Starting crash recovery from checkpoint LSN=13571,13571 2024-10-28 12:22:16 0 [Note] InnoDB: To recover: 3 pages 2024-10-28 12:22:16 0 [Note] InnoDB: 128 rollback segments are active. 2024-10-28 12:22:16 0 [Note] InnoDB: Removed temporary tablespace data file: "./ibtmp1" 2024-10-28 12:22:16 0 [Note] InnoDB: Creating shared tablespace for temporary tables 2024-10-28 12:22:16 0 [Note] InnoDB: Setting file './ibtmp1' size to 12 MB. Physically writing the file full; Please wait ... 2024-10-28 12:22:16 0 [Note] InnoDB: File './ibtmp1' size is now 12 MB. 2024-10-28 12:22:16 0 [Note] InnoDB: 10.6.19 started; log sequence number 33097; transaction id 4 2024-10-28 12:22:16 0 [Note] InnoDB: Loading buffer pool(s) from /db/ib_buffer_pool 2024-10-28 12:22:16 0 [Note] Plugin 'FEEDBACK' is disabled. 2024-10-28 12:22:16 0 [Note] InnoDB: Cannot open '/db/ib_buffer_pool' for reading: No such file or directory 2024-10-28 12:22:16 0 [Note] /usr/sbin/mysqld: ready for connections. Version: '10.6.19-MariaDB-alt1' socket: '/mysql.sock' port: 0 (ALT p10) 2024-10-28 12:23:29 0 [Note] /usr/sbin/mysqld (initiated by: unknown): Normal shutdown 2024-10-28 12:23:29 0 [Note] InnoDB: FTS optimize thread exiting. 2024-10-28 12:23:29 0 [Note] InnoDB: Starting shutdown... 2024-10-28 12:23:29 0 [Note] InnoDB: Dumping buffer pool(s) to /db/ib_buffer_pool 2024-10-28 12:23:29 0 [Note] InnoDB: Buffer pool(s) dump completed at 241028 12:23:29 2024-10-28 12:23:30 0 [Note] InnoDB: Removed temporary tablespace data file: "./ibtmp1" 2024-10-28 12:23:30 0 [Note] InnoDB: Shutdown completed; log sequence number 33109; transaction id 4 2024-10-28 12:23:30 0 [Note] /usr/sbin/mysqld: Shutdown complete  
      Со страницы https://support.kaspersky.ru/ksc-linux/15/210277 беру новое содержимое для my.cnf
       
      sort_buffer_size=10M join_buffer_size=100M join_buffer_space_limit=300M join_cache_level=8 tmp_table_size=512M max_heap_table_size=512M key_buffer_size=200M innodb_buffer_pool_size=100 innodb_thread_concurrency=20 innodb_flush_log_at_trx_commit=0 innodb_lock_wait_timeout=300 max_allowed_packet=32M max_connections=151 max_prepared_stmt_count=12800 table_open_cache=60000 table_open_cache_instances=4 table_definition_cache=60000 optimizer_prune_level=0 optimizer_search_depth=8  
      И далее получаю следующий лог mysql
       
      2024-10-28 12:23:30 0 [Note] Starting MariaDB 10.6.19-MariaDB-alt1 source revision server_uid Zv4jGM3BmfGDe4+uFbWEwRNyfm0= as process 5539 2024-10-28 12:23:30 0 [Note] Plugin 'InnoDB' is disabled. 2024-10-28 12:23:30 0 [Note] Plugin 'FEEDBACK' is disabled. 2024-10-28 12:23:30 0 [Warning] 'innodb-thread-concurrency' was removed. It does nothing now and exists only for compatibility with old my.cnf files. 2024-10-28 12:23:30 0 [Note] Starting MariaDB 10.6.19-MariaDB-alt1 source revision server_uid Zv4jGM3BmfGDe4+uFbWEwRNyfm0= as process 6008 2024-10-28 12:23:30 0 [Warning] option 'innodb-buffer-pool-size': unsigned value 512 adjusted to 2097152 2024-10-28 12:23:30 0 [ERROR] InnoDB: innodb_page_size=16384 requires innodb_buffer_pool_size >= 5MiB current 2MiB 2024-10-28 12:23:30 0 [ERROR] Plugin 'InnoDB' registration as a STORAGE ENGINE failed. 2024-10-28 12:23:30 0 [Note] Plugin 'FEEDBACK' is disabled. 2024-10-28 12:23:30 0 [Warning] 'innodb-thread-concurrency' was removed. It does nothing now and exists only for compatibility with old my.cnf files. 2024-10-28 12:23:30 0 [ERROR] Unknown/unsupported storage engine: InnoDB 2024-10-28 12:23:30 0 [ERROR] Aborting  
    • tav
      Alt-Linux-server-10.2+KSC_15.0.0.12912+mariadb-server-10.6.19
      От tav
      Всех приветствую !
       
      Помогите пожалуйста разобраться почему не устанавливается KSC.
      Все логи и ход установки прикладываю.
       
      sudo /opt/kaspersky/ksc64/lib/bin/setup/postinstall.pl ЛИЦЕНЗИОННОЕ СОГЛАШЕНИЕ для Kaspersky Security Center 15 Linux И ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ для Продуктов и Сервисов ЛИЦЕНЗИОННОЕ СОГЛАШЕНИЕ АО «ЛАБОРАТОРИЯ КАСПЕРСКОГО», ОПРЕДЕЛЯЮЩЕЕ УСЛОВИЯ ИСПОЛЬЗОВАНИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ (ПО) Kaspersky Security Center 15 Linux ВНИМАНИЕ! ВНИМАТЕЛЬНО ОЗНАКОМЬТЕСЬ С УСЛОВИЯМИ ЛИЦЕНЗИОННОГО СОГЛАШЕНИЯ ПЕРЕД НАЧАЛОМ РАБОТЫ С ПРОГРАММНЫМ ОБЕСПЕЧЕНИЕМ. НАЖАТИЕ ВАМИ КНОПКИ ПОДТВЕРЖДЕНИЯ СОГЛАСИЯ В ОКНЕ С ТЕКСТОМ ЛИЦЕНЗИОННОГО СОГЛАШЕНИЯ ПРИ УСТАНОВКЕ ПО ИЛИ ВВОД СООТВЕТСТВУЮЩЕГО СИМВОЛА(-ОВ) ОЗНАЧАЕТ ВАШЕ БЕЗОГОВОРОЧНОЕ СОГЛАСИЕ С УСЛОВИЯМИ НАСТОЯЩЕГО ЛИЦЕНЗИОН НОГО СОГЛАШЕНИЯ. ЕСЛИ ВЫ НЕ СОГЛАСНЫ С УСЛОВИЯМИ НАСТОЯЩЕГО ЛИЦЕНЗИОННОГО СОГЛАШЕНИЯ, ВЫ ДОЛЖНЫ ПРЕРВАТЬ УСТАНОВКУ ПО. И ТАК ДАЛЕЕ Как с нами связаться Если у Вас есть какие-либо вопросы или комментарии к Политике конфиденциальности, методам обеспечения конфиденциальности "Лаборатории Касперского", или, если Вы хотите, чтобы мы обновили или удалили предоставлен ную Вами информацию или предпочтения, посетите веб-сайт https://www.kaspersky.com/global-privacy-policy или свяжитесь с нами: 125212, Российская Федерация, г. Москва, Ленинградское шоссе, 39А, стр.3, info@kasper sky.com, +7-495-797-8700, или с представителем "Лаборатории Касперского" в ЕС по электронной почте или по телефону: Kaspersky Labs GmbH, Ingolstadt, Germany, info@kaspersky.de, +49 (0) 841 98 18 90, или со специ алистом по защите данных в ЕС, а также для других стран: dpo@kaspersky.com. © 2022 АО "Лаборатория Касперского" Enter 'Y' to confirm that you understand and accept the terms of the End User License Agreement (EULA). You must accept the terms and conditions of the EULA to install the application. Enter 'N' providing you do not accept the terms of the EULA or 'R' to view it again [N]: y Enter 'Y' to confirm that you accept the terms of the Privacy Policy. You must accept the terms and conditions of the Privacy Policy to install the application. Entering 'Y' means that you are aware that your data will be handled and transmitted (including to third countries) as described in the Privacy Policy. Enter 'N' providing you do not accept the Privacy Policy [N]: y Choose the Administration Server installation mode: 1) Standard 2) Primary cluster node 3) Secondary cluster node Enter the range number (1, 2, or 3) [1]: 1 Enter Administration Server DNS-name or static IP-address: st9-mge-alt-kav Enter Administration Server SSL port number [13000]: Define the approximate number of devices that you intend to manage: 1) 1 to 100 networked devices 2) 101 to 1 000 networked devices 3) More than 1 000 networked devices Enter the range number (1, 2, or 3) [1]: 3 Enter the security group name for services: kladmins Enter the account name to start the Administration Server service. The account must be a member of the entered security group: ksc Enter the account name to start other services. The account must be a member of the entered security group: ksc Choose the database type to connect to: 1) MySQL 2) Postgres Enter the range number (1 or 2): 1 Enter the database address: 127.0.0.1 Enter the database port: 3306 Enter the database name: kscdb Enter the database login: kscadmin Enter the database password: Add service klnagent_srv... Fatal error: Server registration failed with code '3': 'Registering kladminserver. ' Fatal error: Setup script failed with code 2, signal 0. Installation failed.  
      ksc64_install.log st9-mge-alt-kav.ncfu.net-2024-10-29_11-14_collect.tar.gz Этапы уствновки_ 29.10.2024.txt klnagent_srv_install-wd.zip klregserver_install-wd.zip
    • serioussd
      Шифровальщик blackbit, windows server 2012r2
      От serioussd
      Сервер поймал шифровальщик blackbit, прошу помощи в чистке сервера и возможной дешифровке файлов, пропали все программы, на сервере расположены базы 1с, postgresql  два файла.zipFixlog.txt   

    • sputnikk
      Windows 10
      От sputnikk
      Страница загрузки Windows 10 Technical Preview
      http://windows.microsoft.com/ru-ru/windows/preview-coming-soon
    • Федор45
      Базы зашифрованы
      От Федор45
      Добрый день!
      Утром получили зашифрованные базы 1С, другие продукты не тронуты
       
      FRST.txt Addition.txt
      для примера зашифрованный архив
      БАНК.rar
×
×
  • Создать...