Два шифровальщика

[no_ise]

Точно такая же проблема сегодня с утра...

Что самое интересное, по всей видимости, поработало два шифровальщика. Часть файлов как у ТС, а часть файлов с расширением *.wncry

 

Сообщение от модератора Mark D. Pearlstone

Перемещено из темы

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[no_ise]

Не сразу понял, что лог не приложился. Прикрепляю...

CollectionLog-2017.08.28-14.11.zip

[Sandor]

Здравствуйте!

 

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

В логах видны программы удаленного управления компьютером - VNC Server 5.3.2 и C:\Users\Alien\desktop\aa_v3.exe

Вам о них известно?

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 ExecuteRepair(1);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

 

Файл C:\Инструкция по восстановлению данных.TXT и пару зашифрованных офисных документов упакуйте и тоже прикрепите к следующему сообщению.

[no_ise]

О программах знаю. Они мне нужны.

https://virusinfo.info/virusdetector/report.php?md5=676AB7A04DC5CAEAEC69202B16D10900

Файл с расширением wncry не прикрепляется, так что я просто убрал это расширение и оставил docx

к файлу с расширенем sst добавил .txt

Инструкция по восстановлению данных.TXT

ТЕЗИСЫ_ИПАНОВ.docx

email-crypthelp@qq.com.ver-CL 1.3.1.0.id-NOPPQQQRRSTTUUUUVVWWXYYZZZZAABCCDDDD-27.08.2017 18@47@25873380@@@@@D0D5-94BB.randomname-CDDEFFGGHIIIIJJKKLLMMMMNOOPPQQ.RRR.sst.txt

FRST.txt

Addition.txt

Shortcut.txt

README.txt

Изменено 28 августа, 2017 пользователем no_ise

[Sandor]

А я ведь просил:

данных.TXT и пару зашифрованных офисных документов упакуйте

[no_ise]

Переписка с первым вымогателем

bm-2cuwlclpmqwyrtubsh8brezk5qtp5ms1o2@bitmessage.chbm-2cuwlclpmqwyrtubsh8brezk5qtp5ms1o2@bitmessage.ch

сегодня в 11:07

:

admin@aquamarineresort.ru

 

пришлите нам 2 файла до 1 мб мы их бесплатно расшифруем. Далее вы получите инструкции по оплате в bitcoin. После оплаты мы выдаем программу дешифратор которая восстановит все ваши данные.

 

Расшифровали 2 тестовых файла.

Для расшифровки остальных файлов на вашем сервере, вам необходимо сделать оплату в виде 0.1 bitcoin. После оплаты, мы выдаем программу дешифратор. Она восстановит  все ваши файлы.

кошелек bitcoin для оплаты - 1FZhf5E8ihmauDnigB8noVYUMRe7QW4N14

https://www.bestchange.ru  - здесь вы можете обменять любую валюту на bitcoin

Напоминаем Вам. Что оплата будет в два раза больше через 60 часов.


----------------------------------------------------------------------------------


при оплате 0.1 биткоин вы получаете дешифратор.

при оплате 0.12 биткоин вы получаете дешифратор, + инструкции как избежать такого, какие "дыры" закрыть в вашей системе безопасности. (а они у вас есть) + рекомендации по програмному обеспечению

 

Переписка со вторым вымогателем

Yes. We here all time

 

 

------------------ Original ------------------

From:  "admin";<admin@aquamarineresort.ru>;

Send time: Monday, Aug 28, 2017 8:45 PM

To: "rosa"<crypthelp@qq.com>;

Subject:  Re: decrypt

 

it will take a looooot of time. Can you wait?

rosa<crypthelp@qq.com>28 авг. в 15:18

0.5 bitcoin fixed price.

 

------------------ Original ------------------

From:  "admin";<admin@aquamarineresort.ru>;
Send time: Monday, Aug 28, 2017 8:09 PM
To: "rosa"<crypthelp@qq.com>;
Subject:  Re: decrypt

In my country i can buy only 0.04 bitcoin at once in a hour from one card... i should do 250 transaction...

rosa<crypthelp@qq.com>28 авг. в 15:04

It`s lowest price
------------------ Original ------------------

From:  "admin";<admin@aquamarineresort.ru>;
Send time: Monday, Aug 28, 2017 7:57 PM
To: "rosa"<crypthelp@qq.com>;
Subject:  Re: decrypt

It is too expensive for me

rosa<crypthelp@qq.com>28 авг. в 14:46

1.  Calculation of decoding cost The cost of decryption for you is 1 bitcoin. (Bitcoin is a form of digital currency)   2.  Attention! Do not rename encrypted files.  Do not try to decrypt your data using third party software, it may cause permanent data loss.  Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.    3.  Free decryption as guarantee You can send us up to 5 files for free decryption. The total size of files must be less than 1 Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)    4.  Decryption process: To decrypt the files, transfer money to our bitcoin wallet number: "1HAvKnunqW8xPjEwRYJjMeYnA5sPCyBvAB". As we receive the money we will send you: 1.     Decryption program. 2.      Detailed instruction for decryption.  3.     And individual keys for decrypting your files.   5.  The process of buying bitcoins: The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. https://localbitcoins.com/buy_bitcoins Also you can find other places to buy Bitcoins and beginners guide here: http://www.coindesk.com/information/how-can-i-buy-bitcoins/

------------------ Original ------------------

From:  "admin";<admin@aquamarineresort.ru>;
Send time: Monday, Aug 28, 2017 7:31 PM
To: "rosa"<crypthelp@qq.com>;
Subject:  Re: decrypt

1. 1
2. 0

rosa<crypthelp@qq.com>28 авг. в 14:30

Hello. I'm a technical support operator. I will try to answer all your questions and help decrypt your files. First write:
1. how many computers with local disks are encrypted?
2. How many external hard drives or NAS are encrypted?
 

------------------ Original message ------------------

From: "admin"<admin@aquamarineresort.ru>;
Sendtime: Monday, Aug 28, 2017 7:27 PM
To: "rosa"<crypthelp@qq.com>;
Subject: decrypt

Ukraine

Добавил в архив по паре файлов с каждого шифровальщика

 

1.zip

2.zip

[Sandor]

По второму архиву - расшифровки нет.

По первому - постарайтесь найти пару зашифрованный/не зашифрованный оригинал. Ищите такой на внешних носителях, на других ПК, в почте и т.п.

Найдете - упакуйте такую пару и прикрепите к следующему сообщению.

+

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKU\S-1-5-21-4276309280-233028560-1845303713-1000\...\MountPoints2: G - G:\setup.exe
  HKU\S-1-5-21-4276309280-233028560-1845303713-1000\...\MountPoints2: {44cdbc97-07fc-11e7-86c6-485b39c044c4} - F:\OnePlus_setup.exe /s
  HKU\S-1-5-21-4276309280-233028560-1845303713-1000\...\MountPoints2: {d436c4c6-617c-11e6-8384-485b39c044c4} - F:\setup.exe
  HKU\S-1-5-21-4276309280-233028560-1845303713-1000\...\MountPoints2: {dd36420b-dca0-11e6-83db-485b39c044c4} - F:\Lenovo_Suite.exe
  GroupPolicy: Restriction <==== ATTENTION
  GroupPolicyScripts: Restriction <==== ATTENTION
  GroupPolicyScripts\User: Restriction <==== ATTENTION
  2017-08-28 08:23 - 2017-08-28 08:23 - 000006340 _____ C:\Users\Alien\Desktop\Инструкция по восстановлению данных.TXT
  2017-08-27 18:48 - 2017-08-27 18:48 - 000000080 _____ C:\Users\Alien\Desktop\README.txt.wncry
  2017-08-27 16:58 - 2017-08-27 16:58 - 000006340 _____ C:\Инструкция по восстановлению данных.TXT
  2017-08-27 16:58 - 2017-08-27 16:58 - 000006340 _____ C:\Users\Все пользователи\Инструкция по восстановлению данных.TXT
  2017-08-27 16:58 - 2017-08-27 16:58 - 000006340 _____ C:\Users\Public\Desktop\Инструкция по восстановлению данных.TXT
  2017-08-27 16:58 - 2017-08-27 16:58 - 000006340 _____ C:\Users\Default\Инструкция по восстановлению данных.TXT
  2017-08-27 16:58 - 2017-08-27 16:58 - 000006340 _____ C:\ProgramData\Инструкция по восстановлению данных.TXT
  2017-08-27 16:54 - 2017-08-27 16:54 - 000006340 _____ C:\Users\Alien\Downloads\Инструкция по восстановлению данных.TXT
  AlternateDataStreams: C:\Users\Alien\Desktop\email-crypthelp@qq.com.ver-CL 1.3.1.0.id-NOPPQQQRRSTTUUUUVVWWXYYZZZZAABCCDDDD-27.08.2017 18@47@25873380@@@@@D0D5-94BB.randomname-WXYZAABBBBCCDEEFFFFGGHHIIJKKKK.LLM.nnn:3or4kl4x13tuuug3Byamue2s4b [89]
  AlternateDataStreams: C:\Users\Alien\Desktop\email-crypthelp@qq.com.ver-CL 1.3.1.0.id-NOPPQQQRRSTTUUUUVVWWXYYZZZZAABCCDDDD-27.08.2017 18@47@25873380@@@@@D0D5-94BB.randomname-WXYZAABBBBCCDEEFFFFGGHHIIJKKKK.LLM.nnn:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
  HKU\S-1-5-21-4276309280-233028560-1845303713-1000\Software\Classes\.scr: scrfile =>  <==== ATTENTION
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[no_ise]

Пара файлов

Пара файлов и фикс лог

sss.zip

Fixlog.txt

Изменено 28 августа, 2017 пользователем no_ise

[Sandor]

Проверьте ЛС.

[no_ise]

Спасибо. Начало что-то восстанавливать)

А что по поводу второго архива? Известно ли что это за шифровальщик? Какой протокол?

[Sandor]

что это за шифровальщик?

Cryakl

Как я уже сказал, расшифровки пока нет.

[no_ise]

Мне расшифровали несколько файлов, а они оказались зашифрованы ещё раз амнезией. Прикладываю пару зашифрованный расшифрованный файл. Может поможет...

pair crypt decrypt.zip

[Sandor]

Сделайте такую проверку:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

 

Файл Экселя успешно расшифровывается тем же методом.

[no_ise]

У меня получилось вернуть пару файлов... Но хотелось бы расшифровать всё до конца).

А по поводу уязвимостей - я итак понял как он попал ко мне. Просто забыл про один комп с рдп без пароля...

Там уязвимости типа необновлённого эксплоирера и офиса, которыми там итак не пользуются