Шифровальщик зашифровал файлы добавив расширение .nVhcrypt

[Varesh]

Пришли на работу после выходных и не смогли подключиться к базам 1С на сервере, когда заглянул на сервер, увидел, что большинство файлов зашифрованы и к их расширению приписано .nVhcrypt. Как вирус попал на сервер мы не до конца поняли, но вот какой факт, если посмотреть папки пользователей, то можно заметить что, кроме общих файлов пострадали только файлы одного из пользователей, а именно user2 (человек работает с базами 1С через RDP из дома с личного компьютера), поэтому подозрение на то, что вирус пришёл оттуда. Сам исполнительный файл вируса (после проверок рекомендованными антивирусными программами) я так и не нашёл, по крайней мере мне так кажется... Во всех папках с зашифрованными файлами был создан файл how_to_back_files.html (прикреплю его к теме, если необходимо, а так прикрёплю его скриншот) в котором и выдвигаются требования к оплате и указан id. Бэкапы так же были поражены, рабочий бэкап на сторонней машине от 10.05.2017, а это больше месяца работы бухгалтеров... Злоумышленники по почте просили 45000, в итоге цену сбили до 15000, но у нас нет никакой уверенности что после перечисления средств дешифратор будет выслан... Просим вас помочь с нашей проблемой. Если нужна ещё какая-то информация - с радостью предоставлю !

 

P.S. Сегодня уже писал в чужой теме, там человека так же просили снять логи с помощью  Farbar Recovery Scan Tool, поэтому на всякий случай прикладываю и их.

CollectionLog-2017.06.19-15.48.zip

FRST.rar

[Sandor]

Здравствуйте!

 

был создан файл how_to_back_files.html (прикреплю его к теме, если необходимо

Да, упакуйте вместе с парой небольших поврежденных офисных документов и прикрепите.

 

Затем:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM-x32\...\RunOnce: [{444578D5-F83C-44DF-8524-04CB60E7AC2C}] => cmd.exe /C start /D "C:\Users\836D~1\AppData\Local\Temp\1" /B {444578D5-F83C-44DF-8524-04CB60E7AC2C}.cmd <===== ATTENTION
  ShortcutTarget: explorer.lnk -> C:\ProgramData\Windows\svchost.VBS (No File)
  GroupPolicy: Restriction <======= ATTENTION
  GroupPolicyScripts: Restriction <======= ATTENTION
  2017-06-19 01:41 - 2017-06-19 01:41 - 00007214 _____ C:\Users\Public\how_to_back_files.html
  2017-06-19 01:41 - 2017-06-19 01:41 - 00007214 _____ C:\Users\Public\Downloads\how_to_back_files.html
  2017-06-19 01:41 - 2017-06-19 01:41 - 00007214 _____ C:\Users\Public\Documents\how_to_back_files.html
  2017-06-19 01:41 - 2017-06-19 01:41 - 00007214 _____ C:\Users\Default\how_to_back_files.html
  2017-06-19 01:41 - 2017-06-19 01:41 - 00007214 _____ C:\Users\Default\Desktop\how_to_back_files.html
  2017-06-19 01:41 - 2017-06-19 01:41 - 00007214 _____ C:\Users\Default User\Desktop\how_to_back_files.html
  2017-06-19 01:30 - 2017-06-19 01:30 - 00007214 _____ C:\Users\user2\Downloads\how_to_back_files.html
  2017-06-19 01:30 - 2017-06-19 01:30 - 00007214 _____ C:\Users\user2\Documents\how_to_back_files.html
  2017-06-19 01:30 - 2017-06-19 01:30 - 00007214 _____ C:\Users\user2\Desktop\how_to_back_files.html
  2017-06-19 01:29 - 2017-06-19 01:29 - 00007214 _____ C:\Users\user2\how_to_back_files.html
  2017-06-19 01:25 - 2017-06-19 01:25 - 00007214 _____ C:\Users\Все пользователи\how_to_back_files.html
  2017-06-19 01:25 - 2017-06-19 01:25 - 00007214 _____ C:\Users\how_to_back_files.html
  2017-03-21 15:36 - 2017-03-21 15:36 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp1AE8.tmp
  2017-03-21 14:17 - 2017-03-21 14:17 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp9E56.tmp
  2017-03-21 14:17 - 2017-03-21 14:17 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp9E55.tmp
  2017-03-21 14:17 - 2017-03-21 14:17 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp9E54.tmp
  2017-03-21 14:17 - 2017-03-21 14:17 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp9E53.tmp
  2017-03-21 14:17 - 2017-03-21 14:17 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp9CDC.tmp
  2017-03-21 14:17 - 2017-03-21 14:17 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp9CCB.tmp
  2017-03-21 13:49 - 2017-03-21 13:49 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp8CAF.tmp
  2017-03-21 12:23 - 2017-03-21 12:23 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmpC6A0.tmp
  2017-03-21 12:23 - 2017-03-21 12:23 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmpC69F.tmp
  2017-03-21 12:23 - 2017-03-21 12:23 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmpC69E.tmp
  2017-03-21 12:23 - 2017-03-21 12:23 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmpC69D.tmp
  2017-03-21 12:23 - 2017-03-21 12:23 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmpC545.tmp
  2017-03-21 12:23 - 2017-03-21 12:23 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmpC535.tmp
  2017-06-17 08:39 - 2017-03-18 22:34 - 00000000 ____D C:\Users\Все пользователи\Windows
  2017-06-17 08:39 - 2017-03-18 22:34 - 00000000 ____D C:\ProgramData\Windows
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

 

Подробнее читайте в этом руководстве.

Пароли на RDP, конечно, смените.

[Varesh]

Да, упакуйте вместе с парой небольших поврежденных офисных документов и прикрепите.

• Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

Fixlog.txt

зашифрованные файлы + требования.rar

[regist]

С расшифровкой помочь не сможем.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[Varesh]

Списались с разработчиками шифратора, сначала они просили 47000 руб., смогли договориться до 25000 руб. (что смутило, потом стало всё понятно). Т.к. у нас ситуация безвыходная (зашифровались ВСЕ базы 1С) и никто не может помочь - пришлось перевести деньги... В общем это кидалово чистой воды, сразу после перевода перестали выходить на связь ! Не ведитесь ! Будем ждать что кто-то найдёт тело, может ребята смогут всё таки что-то придумать.

А вот что мне ответили в dr.web:

 

Зашифровано одним из вариантов Trojan.Encoder.10302 v2+ 

На данный момент расшифровка нашими силами видится невозможной. 

Восстановление файлов возможно только из резервных/теневых копий если велось их создание. 

 

Основная рекомендация: обратиться с заявлением в территориальное управление полиции;  

по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.  

Возможно, в результате полицейской акции поймают автора/"хозяина" троянца и выяснят у него шифроключ.  

 

Итого: хранить зашифрованные файлы - смысл есть; держать этот тикет открытым - нет:  

если мы получим какую-либо практически полезную для расшифровки ваших файлов информацию, мы сами переоткроем этот запрос и сообщим вам.  

Это отслеживается в т.ч и для закрытых запросов по энкодерной тематике. 

[regist]

 

 

Основная рекомендация: обратиться с заявлением в территориальное управление полиции; по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства. Возможно, в результате полицейской акции поймают автора/"хозяина" троянца и выяснят у него шифроключ.

Вот с этим полностью согласен, можете ещё почитать:

Мой компьютер заражен вирусом, я хочу обратиться в полицию (для жителей России).

 

 

 

Будем ждать что кто-то найдёт тело, может ребята смогут всё таки что-то придумать.

Надо не тело найти, а ключи для дешифровки, а для этого надо бы сначала автора найти. А для того чтобы на него завели дело и стали искать надо написать заявления в полицию (пока не будет на них заявления, никто искать не будет).

 

И более удобное для запоминание названия вашего шифровальщика GlobeImposter 2.0.

[Никита Ильин]

Есть образцы файлов, зашифрованный и исходный этим шифровальщиком. Есть ли шанс дешифровать?

[regist]

@Никита Ильин,

1) Не пишите в чужой теме, а создайте свою.

2) Нет, это никак не поможет.

[Varesh]

Всё таки прислали дешифратор, надеюсь поможет с решением проблем у других пользователей !

decrypt.rar

Изменено 29 июня, 2017 пользователем Varesh

[Sandor]

1. Из этой ветки скачивать вложение могут только пользователи определенных групп.

2. Другим не поможет, т.к. это только для Вашей конкретной системы.

[vlalex]

Строгое предупреждение от модератора Soft

Ознакомитесь с правилами раздела и впредь прошу не нарушать их.

[Varesh]

2. Другим не поможет, т.к. это только для Вашей конкретной системы.

 

Я думал вы сможете хотя бы шифр подобрать... Ну чем мог тем помог...

 

Для тех кому всё таки интересно ссылка ниже

Сообщение от модератора Soft

Тема закрыта.

Изменено 21 июля, 2017 пользователем Soft