Шифровальщик с расширением URSA.ID89817182

[Ingvarhost]

Добрый день!

На сервере с Windows 2008 R2 с файловой шарой были зашифрованы все файлы в шаре и профилях пользователей. Расширение у файлов URSA.ID89817182. Другие компьютеры в сети не пострадали.

 

К файлам прилагается сообщение:

OUR FILES ARE DECRIPTED
Your documents,photos,database,save games and other important data was encrypted.
Data recovery the necessary interpreter.To get the interpreter,should send an email to:

ursa2277@gmx.com
ursa2277@yahoo.com
ursa2277@india.com
ursa2277@bk.ru


Write on FOUR(4)  EMAILS! I answer all. If there is no answer, write again or register a new mail and try to write again! I answer all !!!
In a letter to include Your personal ID(see the beginning of this document).
Attention !!! Do not attempt to remove a program or run the anti-virus tools.

Во вложениях логи и один из зашифрованных файлов.

 

CollectionLog-2017.08.05-17.11.zip

90-2B-34-32-0B-D5.txt.URSA.ID89817182.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Ingvarhost]

Отчеты Farbar во вложении.

files.zip

[thyrex]

Файл с сообщением вымогателей прикрепите к сообщению

[Ingvarhost]

Файл во вложении

 

How_return_files.zip

[thyrex]

Логи сервера сохранились? Можете в них посмотреть, что запускалось (возможно после несанкционированного входа по RDP) ?

[Ingvarhost]

Логи есть, в них куча попыток логона по RDP, но неуспешных.  Кроме того, логи были очищены вчера в 11-08 утра. Видимо тогда вирус и попал в систему.

[thyrex]

Если был вход по RDP, то вряд ли шифрование было с задержкой. Судя по времени создания файлов с сообщениями вымогателя все началось после 23:00

[Ingvarhost]

Есть шанс на расшифровку?

[thyrex]

Ну если Вы предоставите сам шифровальщик, то для начала его посмотреть нужно, а уже потом выносить вердикт. В предоставленных логах его нет.

 

Есть предположение, что это новая версия RSAUtil. Тогда шансов нет.

[Vugar Guliyev]

 Тоже попал идентичный положение. Выложил сам шифратор, но удалили , помогите как быт?

[thyrex]

@Vugar Guliyev, ваша тема https://forum.kasperskyclub.ru/index.php?showtopic=56685