зашифрованные файлы .scarab

[Alibabaich]

Здравствуйте, произошло несчастье, сервер был атакован вирусом, вследствие чего файлы были закодированы (пример : B_180111_0400.rar.scarab).

 

вложены файлы логов и сообщение бандитов оставленное после атаки.

 

так же есть файл ехе-шник, который скорее всего и был вирусом, поселил его в архив перед удалением.

 

p.s. 

забыл сказать, мы официально пользуемся вашим продуктом.

CollectionLog-2018.01.12-13.56.zip

Инструкция по расшифровке.TXT

Изменено 12 января, 2018 пользователем Alibabaich

[Sandor]

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Alibabaich]

файлы отчета

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  2018-01-12 08:31 - 2018-01-12 08:31 - 000003670 _____ C:\Users\Администратор\Инструкция по расшифровке.TXT
  2018-01-12 08:31 - 2018-01-12 08:31 - 000003670 _____ C:\Users\Администратор\Documents\Инструкция по расшифровке.TXT
  2018-01-12 08:31 - 2018-01-12 08:31 - 000003670 _____ C:\Users\Администратор\Desktop\Инструкция по расшифровке.TXT
  2018-01-12 08:28 - 2018-01-12 08:28 - 000003670 _____ C:\Users\pvv\Инструкция по расшифровке.TXT
  2018-01-12 08:28 - 2018-01-12 08:28 - 000003670 _____ C:\Users\pvv\Downloads\Инструкция по расшифровке.TXT
  2018-01-12 08:28 - 2018-01-12 08:28 - 000003670 _____ C:\Users\pvv\Documents\Инструкция по расшифровке.TXT
  2018-01-12 08:28 - 2018-01-12 08:28 - 000003670 _____ C:\Users\pvv\Desktop\Инструкция по расшифровке.TXT
  2018-01-12 08:28 - 2018-01-12 08:28 - 000003670 _____ C:\Users\Public\Инструкция по расшифровке.TXT
  2018-01-12 08:28 - 2018-01-12 08:28 - 000003670 _____ C:\Users\Public\Downloads\Инструкция по расшифровке.TXT
  2018-01-12 08:28 - 2018-01-12 08:28 - 000003670 _____ C:\Users\Public\Documents\Инструкция по расшифровке.TXT
  2018-01-12 08:28 - 2018-01-12 08:28 - 000003670 _____ C:\Users\lozhkina\Инструкция по расшифровке.TXT
  2018-01-12 08:28 - 2018-01-12 08:28 - 000003670 _____ C:\Users\lozhkina\Downloads\Инструкция по расшифровке.TXT
  2018-01-12 08:28 - 2018-01-12 08:28 - 000003670 _____ C:\Users\lozhkina\Documents\Инструкция по расшифровке.TXT
  2018-01-12 08:28 - 2018-01-12 08:28 - 000003670 _____ C:\Users\lozhkina\Desktop\Инструкция по расшифровке.TXT
  2018-01-12 08:27 - 2018-01-12 08:27 - 000003670 _____ C:\Users\farit\Downloads\Инструкция по расшифровке.TXT
  2018-01-12 08:26 - 2018-01-12 08:26 - 000003670 _____ C:\Users\farit\Инструкция по расшифровке.TXT
  2018-01-12 08:26 - 2018-01-12 08:26 - 000003670 _____ C:\Users\farit\Documents\Инструкция по расшифровке.TXT
  2018-01-12 08:26 - 2018-01-12 08:26 - 000003670 _____ C:\Users\farit\Desktop\Инструкция по расшифровке.TXT
  2018-01-12 08:24 - 2018-01-12 08:24 - 000003670 _____ C:\Users\Emma\Инструкция по расшифровке.TXT
  2018-01-12 08:24 - 2018-01-12 08:24 - 000003670 _____ C:\Users\Emma\Downloads\Инструкция по расшифровке.TXT
  2018-01-12 08:24 - 2018-01-12 08:24 - 000003670 _____ C:\Users\Emma\Documents\Инструкция по расшифровке.TXT
  2018-01-12 08:24 - 2018-01-12 08:24 - 000003670 _____ C:\Users\Emma\Desktop\Инструкция по расшифровке.TXT
  2018-01-12 08:24 - 2018-01-12 08:24 - 000003670 _____ C:\Users\admin\Downloads\Инструкция по расшифровке.TXT
  2018-01-12 08:24 - 2018-01-12 08:24 - 000003670 _____ C:\Users\admin\Documents\Инструкция по расшифровке.TXT
  2018-01-12 08:23 - 2018-01-12 08:23 - 000003670 _____ C:\Users\Инструкция по расшифровке.TXT
  2018-01-12 08:23 - 2018-01-12 08:23 - 000003670 _____ C:\Users\admin\Инструкция по расшифровке.TXT
  2018-01-12 08:23 - 2018-01-12 08:23 - 000003670 _____ C:\Users\admin\Desktop\Инструкция по расшифровке.TXT
  2018-01-12 08:21 - 2018-01-12 08:21 - 000003670 _____ C:\Инструкция по расшифровке.TXT
  Zip: C:\Windows\HhSm
  2018-01-11 21:42 - 2018-01-12 12:51 - 000000000 ____D C:\Windows\HhSm
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перегрузите компьютер вручную.

 

На рабочем столе появится архив Date_Time.zip (Дата_Время)

Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Подробнее читайте в этом руководстве.

[Alibabaich]

не знаю поможет ли это, но вот файлы зашифрованные и расшифрованные, бандиты расшифровали 2 файла как пробный вариант.

архив 12-01-2018_13-54-26  содержит расшифрованные файлы

12-01-2018_13-54-26.zip

зашифрованные файлы.rar

[Sandor]

Предыдущие рекомендации выполните, пожалуйста.

Смените пароль на подключение через RDP.

[Alibabaich]

файл fixlog 

пароль сразу сменили, как обнаружили внешнее проникновение

Fixlog.txt

[Sandor]

Файл

C:\Users\123\Desktop\12.01.2018_15.21.00.zip

отправили по указанному адресу?

[Alibabaich]

да

пришел ответ

 

К сожалению, Ваше письмо не может быть доставлено одному или нескольким получателям:

 

  quarantine@safezone.cc

    SMTP error from remote mail server after end of data:

    host aspmx.l.google.com [64.233.164.27]: 552-5.7.0 This message was blocked because its content presents a potential

    552-5.7.0 security issue. Please visit

    552-5.7.0  https://support.google.com/mail/?p=BlockedMessage to review our

    552 5.7.0 message content and attachment content guidelines. a17si1043889ljd.53 - gsmtp

[Sandor]

Попробуйте выложить на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU или WebFile).

Ссылку на скачивание отправьте мне в ЛС.

Изменено 12 января, 2018 пользователем Sandor

[Alibabaich]

отправил

[Sandor]

Получил, спасибо!

 

мы официально пользуемся вашим продуктом

Создайте запрос на расшифровку.

Но шансов на успех ничтожно мало.

[Alibabaich]

при вводе кода активации выходит сообщение

Не удается обработать код активации. Пожалуйста, повторите попытку позже.

 

 в чем может быть причина?

[Sandor]

Если входите через Company Accaunt, пробуйте через файл ключа.

[Alibabaich]

через Company Accaunt прошло и так и так, а вот через my.kaspersky не принимает. отправил запрос через Company Accaunt.

 

вы не могли бы сказать, это оригинальный scarab (который не дешефруется) или нет?

Изменено 12 января, 2018 пользователем Alibabaich