Перейти к содержанию
Алео

Как расшифровать файлы .java (возможно CrySiS/Dharma)

Рекомендуемые сообщения

Коллеги подцепили вирус шифровальщик. Были заражены компьютеры с информацией по Итальянским партнерам, то что могли восстановить восстановили но осталось много важных документов без копии. Файлы приобрели название типа

miofile.txt.txt.id-0CBE61F3.[Vegas_MOZ6@protonmail.com].java

12 Traccia 12.wma.id-0CBE61F3.[Vegas_MOZ6@protonmail.com].java

 

Что делать и кто виноват в ненадлежащей безопасности ясно. Нужно понять есть ли возможность не идти на поводу у хакеров и не платить или все же придется платить. Каковы шансы обойтись без оплаты хакерам? Восстанавливать по любому придется только вот если платить то лучше не хакерам. 

Пробовал ransomwarefiledecryptor на образцы зашифрованных файлов применить. В поле тип вируса писал не знаю - определялось как Crysis зараженные файлы находились а расшифрованные=0

 Те кто мне пересылал написали что это один из вариантов CrySiS называется Dharma но они не уверены

Выслали мне наконец требуемый Collectionlog+требование оплатить расшифровку+ есть образцы зашифрованных файлов. несколько файлов в зашифрованном и не зашифрованном виде - оригинал+зашифрованная версия (то что предлагалось расшифровать бесплатно)

 

CollectionLog-2018.02.27-17.30.zip

образцы файлов зашифрованный и оригинал.zip

требование оплатить расшифровку.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('OracleRemExecServiceV2');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\123.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\Administrator\AppData\Roaming\123.exe', '');
 QuarantineFile('C:\Users\Administrator\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\123.exe', '');
 QuarantineFile('C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\123.exe', '');
 QuarantineFile('C:\Users\VALFER~1\AppData\Local\Temp\oraremservicev2\RemoteExecService.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\123.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '32');
 DeleteFile('C:\Users\Administrator\AppData\Roaming\123.exe', '32');
 DeleteFile('C:\Users\Administrator\AppData\Roaming\Info.hta', '32');
 DeleteFile('C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\123.exe', '32');
 DeleteFile('C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '32');
 DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\123.exe', '32');
 DeleteFile('C:\Users\VALFER~1\AppData\Local\Temp\oraremservicev2\RemoteExecService.exe', '32');
 DeleteService('OracleRemExecServiceV2');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', '123.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Administrator\AppData\Roaming\Info.hta');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

-


Прошу прощения за задержку. После первого запуска AutoLogger и присланного Вам по итогам CollectionLog сервер перестал работать. 2 дня специалисты пытались восстановить сервер и выполнить скрипт, но безуспешно. Сервер который анализировался изначально восстановлению не подлежит, но зашифрованные файлы остались.
Однако удалось найти отдельный компьютер, который по подозрениям мог быть источником заражения.
В приложении новый CollectionLog  именно с этого компьютера. Скрипт пока не делали поскольку хотел у Вас узнать надо ли его делать. Так как объект анализа изменился и отличается от первоначального. Готовы сделать скрипт если Вы подтвердите. 

CollectionLog-2018.03.02-18.11.zip

Изменено пользователем Рик

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

@Рик, почему вы пишите с другой учётной записи? 

Да проблема в том что на момент написания первого сообщения в данной теме у меня не было компьютера и данных на Рика (я изначально под Риком заходил на форум где-то год назад), вот и пришлось новый ник делать. Сегодня писал с родного компьютера там по умолчанию Рик стоит. Согласен это не совсем хорошо поэтому если нужно прошу удалить лишнюю запись (обе были сделаны на идентичные ящики только с разницей один mail другой gmail.

Можете Алео удалить а я например по ссылке в ящике подтвержу (на ваше усмотрение).

@Рик, почему вы пишите с другой учётной записи? 

Поправка оба ящика на gmail и они не идентичны (могу в ЛС отправить все данные по ящику и нику). Предупреждение видел.

Больше такого не повторится.

В прошлый раз мы пытались решить проблему знакомой компании с вирусом Hakuna Matata, тогда ввиду ограниченного времени пришлось обращаться в компанию и платить деньги (по сути тем же хакерам). Ключ сумели подобрать. Теперь проблема возникла у партнеров той компании.

Сейчас времени чуть больше  и очень не хочется опять обращаться к около легальным компаниям. Тем более что после атаки еще и сервер накрылся. Проблема как и в первом случае идентична зашифрованы файлы, которые нужны для отчетности компании и работы с госструктурами. Без расшифровки невозможно, а кормить хакеров тоже не хочется. Вот и пишу сюда с надеждой.

Информация

Ответил в ЛС

Изменено пользователем Soft

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

сервер перестал работать

Вероятно это совпадение. В скрипте ничего жизненно важного для системы не задето.

 

компьютер, который по подозрениям мог быть источником заражения

Пока никаких следов не видно.

 

Дополнительно на этом же компьютере:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 

 


В скрипте ничего жизненно важного для системы не задето.

Да в этом сомнений нет. Сервер перестал работать до скрипта. Мы не смогли на нем выполнить процедуру скрипта. Сервер просто больше не включился.

В связи с этим вопрос нужно ли выполнять процедуру описанную во 2м сообщении этой темы?

Процедуру Farbar Recovery Scan Tool постараемся сделать

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

нужно ли выполнять процедуру описанную во 2м сообщении этой темы?

Нет, не нужно. Это было написано только для той системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 

 


Да в этом сомнений нет. Сервер перестал работать до скрипта.
У вас был активный вирус в Автозагрузке. Так что скорее всего он просто дошифровал какие-то важные для сервера файла и из-за этого сервер лёг. А сбором логов скорее всего совпало из-за того, что во время сбора произошло обращение (чтение) к этим файлам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Файл

C:\Users\a.cavatorta\Documents\scpres.vbs

Вам известен?
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    C:\WINDOWS\system32\default_error_stack*.txt
    2018-02-26 14:43 - 2018-02-26 14:44 - 000000255 _____ C:\Users\a.cavatorta\Desktop\X VALOTTA FILE DA RECUPERARE.txt
    2018-02-26 22:54 - 2018-02-26 22:54 - 000000000 _____ () C:\Users\a.cavatorta\AppData\Local\Temp\1.dll
    Zip: c:\FRST\Quarantine\
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

На рабочем столе появится архив Date_Time.zip (Дата_Время)

Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Подробнее читайте в этом руководстве.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 

 


C:\Users\a.cavatorta\Documents\scpres.vbs Вам известен?

Не уверен. А что это? Может местным он известен. Скажите что с этим надо делать. Остальную инструкцию сейчас будем делать

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Скажите что с этим надо делать

Упаковать в архив и прикрепить к следующему сообщению.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 

 


Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Я правильно понял что код нужно не просто скопировать а вставить в поле поиск прежде чем нажать Фикс. А то у вас не указано что его надо вставлять куда-либо. (Уточняю чтобы все правильно сделать)

Файл scpres.vbs прикрепим


 

 


Я правильно понял что код нужно не просто скопировать а вставить в поле поиск прежде чем нажать Фикс. А то у вас не указано что его надо вставлять куда-либо. (Уточняю чтобы все правильно сделать) Файл scpres.vbs прикрепим

Вопрос снимается, прочитал инструкцию

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот требуемые файлы. Написал также письмо. Однако туда scpres.vbs не захотел прикрепляться (система пересылки такие файлы не пропускает). Отправил через ссылку.

Ждем дальнейших указаний...

Fixlog.zip

scpres.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


×
×
  • Создать...

Важная информация

Мы используем файлы cookie, чтобы улучшить работу сайта. Продолжая пользоваться этим сайтом, вы соглашаетесь, что некоторые из ваших действий в браузере будут записаны в файлы cookie. Подробную информацию об использовании файлов cookie на этом сайте вы можете найти по ссылке узнать больше.