Перейти к содержанию

Шифровальщик зашифровал файлы добавив расширение .nVhcrypt


Рекомендуемые сообщения

Пришли на работу после выходных и не смогли подключиться к базам 1С на сервере, когда заглянул на сервер, увидел, что большинство файлов зашифрованы и к их расширению приписано .nVhcrypt. Как вирус попал на сервер мы не до конца поняли, но вот какой факт, если посмотреть папки пользователей, то можно заметить что, кроме общих файлов пострадали только файлы одного из пользователей, а именно user2 (человек работает с базами 1С через RDP из дома с личного компьютера), поэтому подозрение на то, что вирус пришёл оттуда. Сам исполнительный файл вируса (после проверок рекомендованными антивирусными программами) я так и не нашёл, по крайней мере мне так кажется... Во всех папках с зашифрованными файлами был создан файл how_to_back_files.html (прикреплю его к теме, если необходимо, а так прикрёплю его скриншот) в котором и выдвигаются требования к оплате и указан id. Бэкапы так же были поражены, рабочий бэкап на сторонней машине от 10.05.2017, а это больше месяца работы бухгалтеров... Злоумышленники по почте просили 45000, в итоге цену сбили до 15000, но у нас нет никакой уверенности что после перечисления средств дешифратор будет выслан... Просим вас помочь с нашей проблемой. Если нужна ещё какая-то информация - с радостью предоставлю !

 

P.S. Сегодня уже писал в чужой теме, там человека так же просили снять логи с помощью  Farbar Recovery Scan Toolпоэтому на всякий случай прикладываю и их.

CollectionLog-2017.06.19-15.48.zip

post-46293-0-79728000-1497878411_thumb.jpg

FRST.rar

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

был создан файл how_to_back_files.html (прикреплю его к теме, если необходимо

Да, упакуйте вместе с парой небольших поврежденных офисных документов и прикрепите.

 

Затем:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKLM-x32\...\RunOnce: [{444578D5-F83C-44DF-8524-04CB60E7AC2C}] => cmd.exe /C start /D "C:\Users\836D~1\AppData\Local\Temp\1" /B {444578D5-F83C-44DF-8524-04CB60E7AC2C}.cmd <===== ATTENTION
    ShortcutTarget: explorer.lnk -> C:\ProgramData\Windows\svchost.VBS (No File)
    GroupPolicy: Restriction <======= ATTENTION
    GroupPolicyScripts: Restriction <======= ATTENTION
    2017-06-19 01:41 - 2017-06-19 01:41 - 00007214 _____ C:\Users\Public\how_to_back_files.html
    2017-06-19 01:41 - 2017-06-19 01:41 - 00007214 _____ C:\Users\Public\Downloads\how_to_back_files.html
    2017-06-19 01:41 - 2017-06-19 01:41 - 00007214 _____ C:\Users\Public\Documents\how_to_back_files.html
    2017-06-19 01:41 - 2017-06-19 01:41 - 00007214 _____ C:\Users\Default\how_to_back_files.html
    2017-06-19 01:41 - 2017-06-19 01:41 - 00007214 _____ C:\Users\Default\Desktop\how_to_back_files.html
    2017-06-19 01:41 - 2017-06-19 01:41 - 00007214 _____ C:\Users\Default User\Desktop\how_to_back_files.html
    2017-06-19 01:30 - 2017-06-19 01:30 - 00007214 _____ C:\Users\user2\Downloads\how_to_back_files.html
    2017-06-19 01:30 - 2017-06-19 01:30 - 00007214 _____ C:\Users\user2\Documents\how_to_back_files.html
    2017-06-19 01:30 - 2017-06-19 01:30 - 00007214 _____ C:\Users\user2\Desktop\how_to_back_files.html
    2017-06-19 01:29 - 2017-06-19 01:29 - 00007214 _____ C:\Users\user2\how_to_back_files.html
    2017-06-19 01:25 - 2017-06-19 01:25 - 00007214 _____ C:\Users\Все пользователи\how_to_back_files.html
    2017-06-19 01:25 - 2017-06-19 01:25 - 00007214 _____ C:\Users\how_to_back_files.html
    2017-03-21 15:36 - 2017-03-21 15:36 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp1AE8.tmp
    2017-03-21 14:17 - 2017-03-21 14:17 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp9E56.tmp
    2017-03-21 14:17 - 2017-03-21 14:17 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp9E55.tmp
    2017-03-21 14:17 - 2017-03-21 14:17 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp9E54.tmp
    2017-03-21 14:17 - 2017-03-21 14:17 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp9E53.tmp
    2017-03-21 14:17 - 2017-03-21 14:17 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp9CDC.tmp
    2017-03-21 14:17 - 2017-03-21 14:17 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp9CCB.tmp
    2017-03-21 13:49 - 2017-03-21 13:49 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp8CAF.tmp
    2017-03-21 12:23 - 2017-03-21 12:23 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmpC6A0.tmp
    2017-03-21 12:23 - 2017-03-21 12:23 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmpC69F.tmp
    2017-03-21 12:23 - 2017-03-21 12:23 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmpC69E.tmp
    2017-03-21 12:23 - 2017-03-21 12:23 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmpC69D.tmp
    2017-03-21 12:23 - 2017-03-21 12:23 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmpC545.tmp
    2017-03-21 12:23 - 2017-03-21 12:23 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmpC535.tmp
    2017-06-17 08:39 - 2017-03-18 22:34 - 00000000 ____D C:\Users\Все пользователи\Windows
    2017-06-17 08:39 - 2017-03-18 22:34 - 00000000 ____D C:\ProgramData\Windows
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

 

Подробнее читайте в этом руководстве.

Пароли на RDP, конечно, смените.

Ссылка на комментарий
Поделиться на другие сайты

Да, упакуйте вместе с парой небольших поврежденных офисных документов и прикрепите.

  • Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

Fixlog.txt

зашифрованные файлы + требования.rar

Ссылка на комментарий
Поделиться на другие сайты

С расшифровкой помочь не сможем.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на комментарий
Поделиться на другие сайты

Списались с разработчиками шифратора, сначала они просили 47000 руб., смогли договориться до 25000 руб. (что смутило, потом стало всё понятно). Т.к. у нас ситуация безвыходная (зашифровались ВСЕ базы 1С) и никто не может помочь - пришлось перевести деньги... В общем это кидалово чистой воды, сразу после перевода перестали выходить на связь ! Не ведитесь ! Будем ждать что кто-то найдёт тело, может ребята смогут всё таки что-то придумать.


А вот что мне ответили в dr.web:

 

Зашифровано одним из вариантов Trojan.Encoder.10302 v2+ 
На данный момент расшифровка нашими силами видится невозможной. 
Восстановление файлов возможно только из резервных/теневых копий если велось их создание. 
 
Основная рекомендация: обратиться с заявлением в территориальное управление полиции;  
по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.  
Возможно, в результате полицейской акции поймают автора/"хозяина" троянца и выяснят у него шифроключ.  
 
Итого: хранить зашифрованные файлы - смысл есть; держать этот тикет открытым - нет:  
если мы получим какую-либо практически полезную для расшифровки ваших файлов информацию, мы сами переоткроем этот запрос и сообщим вам.  
Это отслеживается в т.ч и для закрытых запросов по энкодерной тематике. 
Ссылка на комментарий
Поделиться на другие сайты

 

 


Основная рекомендация: обратиться с заявлением в территориальное управление полиции; по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства. Возможно, в результате полицейской акции поймают автора/"хозяина" троянца и выяснят у него шифроключ.
Вот с этим полностью согласен, можете ещё почитать:

Мой компьютер заражен вирусом, я хочу обратиться в полицию (для жителей России).

 

 

 


Будем ждать что кто-то найдёт тело, может ребята смогут всё таки что-то придумать.
Надо не тело найти, а ключи для дешифровки, а для этого надо бы сначала автора найти. А для того чтобы на него завели дело и стали искать надо написать заявления в полицию (пока не будет на них заявления, никто искать не будет).

 

И более удобное для запоминание названия вашего шифровальщика GlobeImposter 2.0.

Ссылка на комментарий
Поделиться на другие сайты

  • 2 weeks later...

Всё таки прислали дешифратор, надеюсь поможет с решением проблем у других пользователей !

decrypt.rar

Изменено пользователем Varesh
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

1. Из этой ветки скачивать вложение могут только пользователи определенных групп.

2. Другим не поможет, т.к. это только для Вашей конкретной системы.

Ссылка на комментарий
Поделиться на другие сайты

2. Другим не поможет, т.к. это только для Вашей конкретной системы.

 

Я думал вы сможете хотя бы шифр подобрать... Ну чем мог тем помог...

 

Для тех кому всё таки интересно ссылка ниже

Сообщение от модератора Soft
Тема закрыта.
Изменено пользователем Soft
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Юрий Ч
    • Saul
      От Saul
      Добрый день!
      Вот такое поймали, зашифрованы все файлы на сетевой шаре.
      Есть способы для расшифровки?
       
      Все ваши файлы были зашифрованы!
          Все ваши файлы были зашифрованы из -за проблемы безопасности с вашим ПК.
          Если вы хотите их восстановить
          Установите программу для общения https://tox.chat/clients.html
      https://github.com/uTox/uTox/releases/
      https://github.com/uTox/uTox/releases/download/v0.18.1/utox_x86_64.exe
      и добавьте нас
       
      2C6D0C2F49F19EAE34A558AC646E5C75230928DA64B46DBD6087B036ED651146575435EFEFFC
      ВНИМАНИЕ!
          !!!Не трогайте зашифрованные файлы.!!!
          !!!Не пытайтесь расшифровать ваши данные, используя стороннее программное обеспечение, это может вызвать потерю данных.!!!
      1.zip
    • Мимохожий
      От Мимохожий
      Поймали Trojan.Encoder.31074 (Lockbit 3).
      Просим помощи в расшифровке
      Файл вируса в архиве имеется.
      Убиты все сервера компании.
       
      Mimo.rar
    • SS78RUS
      От SS78RUS
      Добрый вечер. 
      С нами случилась ситуация 1в1 с вышеописанной. NAS Zyxel 326 со всеми патчами, отключены все выходы во внешнюю сеть, работал только как локальное хранилище, всё равно атаковали через уязвимость самого NAS -создали облачного пользователя, которого даже удалить не могу.
      Подскажите, какой вариант с починкой файлов? Заранее спасибо.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Din
      От Din
      Есть приватный ключ, подскажите как и чем расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...