Перейти к содержанию

Шифровальщик зашифровал файлы добавив расширение .nVhcrypt


Рекомендуемые сообщения

Пришли на работу после выходных и не смогли подключиться к базам 1С на сервере, когда заглянул на сервер, увидел, что большинство файлов зашифрованы и к их расширению приписано .nVhcrypt. Как вирус попал на сервер мы не до конца поняли, но вот какой факт, если посмотреть папки пользователей, то можно заметить что, кроме общих файлов пострадали только файлы одного из пользователей, а именно user2 (человек работает с базами 1С через RDP из дома с личного компьютера), поэтому подозрение на то, что вирус пришёл оттуда. Сам исполнительный файл вируса (после проверок рекомендованными антивирусными программами) я так и не нашёл, по крайней мере мне так кажется... Во всех папках с зашифрованными файлами был создан файл how_to_back_files.html (прикреплю его к теме, если необходимо, а так прикрёплю его скриншот) в котором и выдвигаются требования к оплате и указан id. Бэкапы так же были поражены, рабочий бэкап на сторонней машине от 10.05.2017, а это больше месяца работы бухгалтеров... Злоумышленники по почте просили 45000, в итоге цену сбили до 15000, но у нас нет никакой уверенности что после перечисления средств дешифратор будет выслан... Просим вас помочь с нашей проблемой. Если нужна ещё какая-то информация - с радостью предоставлю !

 

P.S. Сегодня уже писал в чужой теме, там человека так же просили снять логи с помощью  Farbar Recovery Scan Toolпоэтому на всякий случай прикладываю и их.

CollectionLog-2017.06.19-15.48.zip

post-46293-0-79728000-1497878411_thumb.jpg

FRST.rar

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

был создан файл how_to_back_files.html (прикреплю его к теме, если необходимо

Да, упакуйте вместе с парой небольших поврежденных офисных документов и прикрепите.

 

Затем:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKLM-x32\...\RunOnce: [{444578D5-F83C-44DF-8524-04CB60E7AC2C}] => cmd.exe /C start /D "C:\Users\836D~1\AppData\Local\Temp\1" /B {444578D5-F83C-44DF-8524-04CB60E7AC2C}.cmd <===== ATTENTION
    ShortcutTarget: explorer.lnk -> C:\ProgramData\Windows\svchost.VBS (No File)
    GroupPolicy: Restriction <======= ATTENTION
    GroupPolicyScripts: Restriction <======= ATTENTION
    2017-06-19 01:41 - 2017-06-19 01:41 - 00007214 _____ C:\Users\Public\how_to_back_files.html
    2017-06-19 01:41 - 2017-06-19 01:41 - 00007214 _____ C:\Users\Public\Downloads\how_to_back_files.html
    2017-06-19 01:41 - 2017-06-19 01:41 - 00007214 _____ C:\Users\Public\Documents\how_to_back_files.html
    2017-06-19 01:41 - 2017-06-19 01:41 - 00007214 _____ C:\Users\Default\how_to_back_files.html
    2017-06-19 01:41 - 2017-06-19 01:41 - 00007214 _____ C:\Users\Default\Desktop\how_to_back_files.html
    2017-06-19 01:41 - 2017-06-19 01:41 - 00007214 _____ C:\Users\Default User\Desktop\how_to_back_files.html
    2017-06-19 01:30 - 2017-06-19 01:30 - 00007214 _____ C:\Users\user2\Downloads\how_to_back_files.html
    2017-06-19 01:30 - 2017-06-19 01:30 - 00007214 _____ C:\Users\user2\Documents\how_to_back_files.html
    2017-06-19 01:30 - 2017-06-19 01:30 - 00007214 _____ C:\Users\user2\Desktop\how_to_back_files.html
    2017-06-19 01:29 - 2017-06-19 01:29 - 00007214 _____ C:\Users\user2\how_to_back_files.html
    2017-06-19 01:25 - 2017-06-19 01:25 - 00007214 _____ C:\Users\Все пользователи\how_to_back_files.html
    2017-06-19 01:25 - 2017-06-19 01:25 - 00007214 _____ C:\Users\how_to_back_files.html
    2017-03-21 15:36 - 2017-03-21 15:36 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp1AE8.tmp
    2017-03-21 14:17 - 2017-03-21 14:17 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp9E56.tmp
    2017-03-21 14:17 - 2017-03-21 14:17 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp9E55.tmp
    2017-03-21 14:17 - 2017-03-21 14:17 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp9E54.tmp
    2017-03-21 14:17 - 2017-03-21 14:17 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp9E53.tmp
    2017-03-21 14:17 - 2017-03-21 14:17 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp9CDC.tmp
    2017-03-21 14:17 - 2017-03-21 14:17 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp9CCB.tmp
    2017-03-21 13:49 - 2017-03-21 13:49 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp8CAF.tmp
    2017-03-21 12:23 - 2017-03-21 12:23 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmpC6A0.tmp
    2017-03-21 12:23 - 2017-03-21 12:23 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmpC69F.tmp
    2017-03-21 12:23 - 2017-03-21 12:23 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmpC69E.tmp
    2017-03-21 12:23 - 2017-03-21 12:23 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmpC69D.tmp
    2017-03-21 12:23 - 2017-03-21 12:23 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmpC545.tmp
    2017-03-21 12:23 - 2017-03-21 12:23 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmpC535.tmp
    2017-06-17 08:39 - 2017-03-18 22:34 - 00000000 ____D C:\Users\Все пользователи\Windows
    2017-06-17 08:39 - 2017-03-18 22:34 - 00000000 ____D C:\ProgramData\Windows
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

 

Подробнее читайте в этом руководстве.

Пароли на RDP, конечно, смените.

Ссылка на сообщение
Поделиться на другие сайты
Да, упакуйте вместе с парой небольших поврежденных офисных документов и прикрепите.

  • Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

Fixlog.txt

зашифрованные файлы + требования.rar

Ссылка на сообщение
Поделиться на другие сайты

С расшифровкой помочь не сможем.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на сообщение
Поделиться на другие сайты

Списались с разработчиками шифратора, сначала они просили 47000 руб., смогли договориться до 25000 руб. (что смутило, потом стало всё понятно). Т.к. у нас ситуация безвыходная (зашифровались ВСЕ базы 1С) и никто не может помочь - пришлось перевести деньги... В общем это кидалово чистой воды, сразу после перевода перестали выходить на связь ! Не ведитесь ! Будем ждать что кто-то найдёт тело, может ребята смогут всё таки что-то придумать.


А вот что мне ответили в dr.web:

 

Зашифровано одним из вариантов Trojan.Encoder.10302 v2+ 
На данный момент расшифровка нашими силами видится невозможной. 
Восстановление файлов возможно только из резервных/теневых копий если велось их создание. 
 
Основная рекомендация: обратиться с заявлением в территориальное управление полиции;  
по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.  
Возможно, в результате полицейской акции поймают автора/"хозяина" троянца и выяснят у него шифроключ.  
 
Итого: хранить зашифрованные файлы - смысл есть; держать этот тикет открытым - нет:  
если мы получим какую-либо практически полезную для расшифровки ваших файлов информацию, мы сами переоткроем этот запрос и сообщим вам.  
Это отслеживается в т.ч и для закрытых запросов по энкодерной тематике. 
Ссылка на сообщение
Поделиться на другие сайты

 

 


Основная рекомендация: обратиться с заявлением в территориальное управление полиции; по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства. Возможно, в результате полицейской акции поймают автора/"хозяина" троянца и выяснят у него шифроключ.
Вот с этим полностью согласен, можете ещё почитать:

Мой компьютер заражен вирусом, я хочу обратиться в полицию (для жителей России).

 

 

 


Будем ждать что кто-то найдёт тело, может ребята смогут всё таки что-то придумать.
Надо не тело найти, а ключи для дешифровки, а для этого надо бы сначала автора найти. А для того чтобы на него завели дело и стали искать надо написать заявления в полицию (пока не будет на них заявления, никто искать не будет).

 

И более удобное для запоминание названия вашего шифровальщика GlobeImposter 2.0.

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...

Всё таки прислали дешифратор, надеюсь поможет с решением проблем у других пользователей !

decrypt.rar

Изменено пользователем Varesh
  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты

1. Из этой ветки скачивать вложение могут только пользователи определенных групп.

2. Другим не поможет, т.к. это только для Вашей конкретной системы.

Ссылка на сообщение
Поделиться на другие сайты

2. Другим не поможет, т.к. это только для Вашей конкретной системы.

 

Я думал вы сможете хотя бы шифр подобрать... Ну чем мог тем помог...

 

Для тех кому всё таки интересно ссылка ниже

Сообщение от модератора Soft
Тема закрыта.
Изменено пользователем Soft
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Ivan1996
      От Ivan1996
      прошу так же помощи по шифровальщику, только у меня даже о выкупе файла нет нигде...((
      card.csv.[ID-5465DF21].[hyperme@tuta.io].zip
       
       
      Сообщение от модератора kmscom Сообщение перенесено из темы https://forum.kasperskyclub.ru/topic/88531-shifrovalshhik-hypermetutaiohelpme/  
    • Kotyara884
      От Kotyara884
      Здравствуйте, уважаемый форумчане.
       
      Словили на сервер шифровальщик .[ID-1CF273F0].[hyperme@tuta.io].HELPME
       
      Шифрованный файл прилагаю и инфо к нему тоже, я так понимаю расшифровывать бесполезно?
      decrypt_info.txt bnk.zip
    • Gennady_M
      От Gennady_M
      Добрый день!
       
      Вирус шифровальщик зашифровал файлы.
      Помогите пожалйста, возможно есть к нему дешифратор
      прилагаю файлы и сообщение от вымогателя
       
      шифровальщик.zip
    • localhost
      От localhost
      Добрый день, словили шифровальщик, в итоге все файлы зашифрованы. Подскажите, пожалуйста, возможна ли расшифровка? Если нет - то какие действия от меня требуются для очистки системы от последствий? Заранее благодарен. 
      Ниже прикладываю требуемые файлы (логи FRST, два зашифрованных файла).
      FRST.txt Касса.xlsx[paybackformistake@qq.com].zip надпись реализация.odt[paybackformistake@qq.com].zip Addition.txt
    • login1231
      От login1231
      Здравствуйте.
      1. Будет ли антивирус "Kaspersky Security для Windows Server 10.1.2" обнаруживать шифровальщиков, если отключить компонент "Защита от шифрования" и при этом компонент "Файловый антивирус" или "Постоянная защита файлов" будет включен?
      2. Что значит "HEUR:" в начале наименований угроз? Как расшифровывается?
×
×
  • Создать...