Перейти к содержанию

Шифровальщик зашифровал файлы добавив расширение .nVhcrypt


Рекомендуемые сообщения

Пришли на работу после выходных и не смогли подключиться к базам 1С на сервере, когда заглянул на сервер, увидел, что большинство файлов зашифрованы и к их расширению приписано .nVhcrypt. Как вирус попал на сервер мы не до конца поняли, но вот какой факт, если посмотреть папки пользователей, то можно заметить что, кроме общих файлов пострадали только файлы одного из пользователей, а именно user2 (человек работает с базами 1С через RDP из дома с личного компьютера), поэтому подозрение на то, что вирус пришёл оттуда. Сам исполнительный файл вируса (после проверок рекомендованными антивирусными программами) я так и не нашёл, по крайней мере мне так кажется... Во всех папках с зашифрованными файлами был создан файл how_to_back_files.html (прикреплю его к теме, если необходимо, а так прикрёплю его скриншот) в котором и выдвигаются требования к оплате и указан id. Бэкапы так же были поражены, рабочий бэкап на сторонней машине от 10.05.2017, а это больше месяца работы бухгалтеров... Злоумышленники по почте просили 45000, в итоге цену сбили до 15000, но у нас нет никакой уверенности что после перечисления средств дешифратор будет выслан... Просим вас помочь с нашей проблемой. Если нужна ещё какая-то информация - с радостью предоставлю !

 

P.S. Сегодня уже писал в чужой теме, там человека так же просили снять логи с помощью  Farbar Recovery Scan Toolпоэтому на всякий случай прикладываю и их.

CollectionLog-2017.06.19-15.48.zip

post-46293-0-79728000-1497878411_thumb.jpg

FRST.rar

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

был создан файл how_to_back_files.html (прикреплю его к теме, если необходимо

Да, упакуйте вместе с парой небольших поврежденных офисных документов и прикрепите.

 

Затем:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKLM-x32\...\RunOnce: [{444578D5-F83C-44DF-8524-04CB60E7AC2C}] => cmd.exe /C start /D "C:\Users\836D~1\AppData\Local\Temp\1" /B {444578D5-F83C-44DF-8524-04CB60E7AC2C}.cmd <===== ATTENTION
    ShortcutTarget: explorer.lnk -> C:\ProgramData\Windows\svchost.VBS (No File)
    GroupPolicy: Restriction <======= ATTENTION
    GroupPolicyScripts: Restriction <======= ATTENTION
    2017-06-19 01:41 - 2017-06-19 01:41 - 00007214 _____ C:\Users\Public\how_to_back_files.html
    2017-06-19 01:41 - 2017-06-19 01:41 - 00007214 _____ C:\Users\Public\Downloads\how_to_back_files.html
    2017-06-19 01:41 - 2017-06-19 01:41 - 00007214 _____ C:\Users\Public\Documents\how_to_back_files.html
    2017-06-19 01:41 - 2017-06-19 01:41 - 00007214 _____ C:\Users\Default\how_to_back_files.html
    2017-06-19 01:41 - 2017-06-19 01:41 - 00007214 _____ C:\Users\Default\Desktop\how_to_back_files.html
    2017-06-19 01:41 - 2017-06-19 01:41 - 00007214 _____ C:\Users\Default User\Desktop\how_to_back_files.html
    2017-06-19 01:30 - 2017-06-19 01:30 - 00007214 _____ C:\Users\user2\Downloads\how_to_back_files.html
    2017-06-19 01:30 - 2017-06-19 01:30 - 00007214 _____ C:\Users\user2\Documents\how_to_back_files.html
    2017-06-19 01:30 - 2017-06-19 01:30 - 00007214 _____ C:\Users\user2\Desktop\how_to_back_files.html
    2017-06-19 01:29 - 2017-06-19 01:29 - 00007214 _____ C:\Users\user2\how_to_back_files.html
    2017-06-19 01:25 - 2017-06-19 01:25 - 00007214 _____ C:\Users\Все пользователи\how_to_back_files.html
    2017-06-19 01:25 - 2017-06-19 01:25 - 00007214 _____ C:\Users\how_to_back_files.html
    2017-03-21 15:36 - 2017-03-21 15:36 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp1AE8.tmp
    2017-03-21 14:17 - 2017-03-21 14:17 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp9E56.tmp
    2017-03-21 14:17 - 2017-03-21 14:17 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp9E55.tmp
    2017-03-21 14:17 - 2017-03-21 14:17 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp9E54.tmp
    2017-03-21 14:17 - 2017-03-21 14:17 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp9E53.tmp
    2017-03-21 14:17 - 2017-03-21 14:17 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp9CDC.tmp
    2017-03-21 14:17 - 2017-03-21 14:17 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp9CCB.tmp
    2017-03-21 13:49 - 2017-03-21 13:49 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp8CAF.tmp
    2017-03-21 12:23 - 2017-03-21 12:23 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmpC6A0.tmp
    2017-03-21 12:23 - 2017-03-21 12:23 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmpC69F.tmp
    2017-03-21 12:23 - 2017-03-21 12:23 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmpC69E.tmp
    2017-03-21 12:23 - 2017-03-21 12:23 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmpC69D.tmp
    2017-03-21 12:23 - 2017-03-21 12:23 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmpC545.tmp
    2017-03-21 12:23 - 2017-03-21 12:23 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmpC535.tmp
    2017-06-17 08:39 - 2017-03-18 22:34 - 00000000 ____D C:\Users\Все пользователи\Windows
    2017-06-17 08:39 - 2017-03-18 22:34 - 00000000 ____D C:\ProgramData\Windows
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

 

Подробнее читайте в этом руководстве.

Пароли на RDP, конечно, смените.

Ссылка на сообщение
Поделиться на другие сайты
Да, упакуйте вместе с парой небольших поврежденных офисных документов и прикрепите.

  • Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

Fixlog.txt

зашифрованные файлы + требования.rar

Ссылка на сообщение
Поделиться на другие сайты

С расшифровкой помочь не сможем.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на сообщение
Поделиться на другие сайты

Списались с разработчиками шифратора, сначала они просили 47000 руб., смогли договориться до 25000 руб. (что смутило, потом стало всё понятно). Т.к. у нас ситуация безвыходная (зашифровались ВСЕ базы 1С) и никто не может помочь - пришлось перевести деньги... В общем это кидалово чистой воды, сразу после перевода перестали выходить на связь ! Не ведитесь ! Будем ждать что кто-то найдёт тело, может ребята смогут всё таки что-то придумать.


А вот что мне ответили в dr.web:

 

Зашифровано одним из вариантов Trojan.Encoder.10302 v2+ 
На данный момент расшифровка нашими силами видится невозможной. 
Восстановление файлов возможно только из резервных/теневых копий если велось их создание. 
 
Основная рекомендация: обратиться с заявлением в территориальное управление полиции;  
по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.  
Возможно, в результате полицейской акции поймают автора/"хозяина" троянца и выяснят у него шифроключ.  
 
Итого: хранить зашифрованные файлы - смысл есть; держать этот тикет открытым - нет:  
если мы получим какую-либо практически полезную для расшифровки ваших файлов информацию, мы сами переоткроем этот запрос и сообщим вам.  
Это отслеживается в т.ч и для закрытых запросов по энкодерной тематике. 
Ссылка на сообщение
Поделиться на другие сайты

 

 


Основная рекомендация: обратиться с заявлением в территориальное управление полиции; по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства. Возможно, в результате полицейской акции поймают автора/"хозяина" троянца и выяснят у него шифроключ.
Вот с этим полностью согласен, можете ещё почитать:

Мой компьютер заражен вирусом, я хочу обратиться в полицию (для жителей России).

 

 

 


Будем ждать что кто-то найдёт тело, может ребята смогут всё таки что-то придумать.
Надо не тело найти, а ключи для дешифровки, а для этого надо бы сначала автора найти. А для того чтобы на него завели дело и стали искать надо написать заявления в полицию (пока не будет на них заявления, никто искать не будет).

 

И более удобное для запоминание названия вашего шифровальщика GlobeImposter 2.0.

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...

Всё таки прислали дешифратор, надеюсь поможет с решением проблем у других пользователей !

decrypt.rar

Изменено пользователем Varesh
  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты

1. Из этой ветки скачивать вложение могут только пользователи определенных групп.

2. Другим не поможет, т.к. это только для Вашей конкретной системы.

Ссылка на сообщение
Поделиться на другие сайты

2. Другим не поможет, т.к. это только для Вашей конкретной системы.

 

Я думал вы сможете хотя бы шифр подобрать... Ну чем мог тем помог...

 

Для тех кому всё таки интересно ссылка ниже

Сообщение от модератора Soft
Тема закрыта.
Изменено пользователем Soft
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • tized-NSK
      От tized-NSK
      Здравствуйте, у меня точно такаяже проблема с шифрованием файлов формат rty не подскажете как их расшифровать?  ShadeDecryptor не помог ,Kaspersky XoristDecryptor тоже не помог
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Александр Нефёдов
      От Александр Нефёдов
      Добрый день.
      Столкнулся с проблемой блокировки загрузки ОС Windows Server 2016, и других.
      За ночь заблочило десять машин, которые не выключались.
      Пример блокировки на скрине.
      Диски не читаются, типа raw формат, поэтому как таковых зашифрованных файлов нет, вероятно зашифрован весь диск.
      вариант из статьи(https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html) с AOMEI не помог.
       
      За любые идеи которые помогу восстановить информацию буду благодарен .

    • AlexDreyk
      От AlexDreyk
      Добрый день! Просьба помочь с расшифровкой
      Addition.txt FRST.txt Зашифрованные файлы.zip
    • dsever
      От dsever
      Сегодня после выходных обнаружили проблему. Два сервера - все данные зашифрованы.  основная проблема с 1С файлы зашифрованы + бэкапы тоже. DrWEB пишет, что вирус попал по RDP, "Файл шифровальщика находится по пути
      C:\users\администратор.win-8anssg9mkch\appdata\local\7af1be1c-1606-8166-99e6-80b4a9786b07\BABKAALYOEBALO.exe". Так же вирус зашифровал все расшаренные файлы на других серверах, но до баз SQL не добрался.
       
      BABKAALYOEBALO_DECRYPTION.txt
    • vyz-project
      От vyz-project
      На рабочем компьютере 19.11.23 начиная примерно в 22:30 (судя по дате изменения) были зашифрованы все файлы. Теперь они все с расширением .id[705C9723-3351].[blankqq@tuta.io].elpy
      На данный момент зараженный компьютер изолирован. Но он был в локальной сети до этого момента.
      Логи и файлы приложил.
      pdf_files.7z Addition.txt FRST.txt
×
×
  • Создать...