Как расшифровать файлы .java (возможно CrySiS/Dharma)

[Алео]

Коллеги подцепили вирус шифровальщик. Были заражены компьютеры с информацией по Итальянским партнерам, то что могли восстановить восстановили но осталось много важных документов без копии. Файлы приобрели название типа

miofile.txt.txt.id-0CBE61F3.[Vegas_MOZ6@protonmail.com].java

12 Traccia 12.wma.id-0CBE61F3.[Vegas_MOZ6@protonmail.com].java

 

Что делать и кто виноват в ненадлежащей безопасности ясно. Нужно понять есть ли возможность не идти на поводу у хакеров и не платить или все же придется платить. Каковы шансы обойтись без оплаты хакерам? Восстанавливать по любому придется только вот если платить то лучше не хакерам. 

Пробовал ransomwarefiledecryptor на образцы зашифрованных файлов применить. В поле тип вируса писал не знаю - определялось как Crysis зараженные файлы находились а расшифрованные=0

 Те кто мне пересылал написали что это один из вариантов CrySiS называется Dharma но они не уверены

Выслали мне наконец требуемый Collectionlog+требование оплатить расшифровку+ есть образцы зашифрованных файлов. несколько файлов в зашифрованном и не зашифрованном виде - оригинал+зашифрованная версия (то что предлагалось расшифровать бесплатно)

 

CollectionLog-2018.02.27-17.30.zip

образцы файлов зашифрованный и оригинал.zip

требование оплатить расшифровку.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('OracleRemExecServiceV2');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\123.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\Administrator\AppData\Roaming\123.exe', '');
 QuarantineFile('C:\Users\Administrator\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\123.exe', '');
 QuarantineFile('C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\123.exe', '');
 QuarantineFile('C:\Users\VALFER~1\AppData\Local\Temp\oraremservicev2\RemoteExecService.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\123.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '32');
 DeleteFile('C:\Users\Administrator\AppData\Roaming\123.exe', '32');
 DeleteFile('C:\Users\Administrator\AppData\Roaming\Info.hta', '32');
 DeleteFile('C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\123.exe', '32');
 DeleteFile('C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '32');
 DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\123.exe', '32');
 DeleteFile('C:\Users\VALFER~1\AppData\Local\Temp\oraremservicev2\RemoteExecService.exe', '32');
 DeleteService('OracleRemExecServiceV2');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', '123.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Administrator\AppData\Roaming\Info.hta');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.

Пожалуйста, перезагрузите компьютер вручную.

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[Рик]

-

Прошу прощения за задержку. После первого запуска AutoLogger и присланного Вам по итогам CollectionLog сервер перестал работать. 2 дня специалисты пытались восстановить сервер и выполнить скрипт, но безуспешно. Сервер который анализировался изначально восстановлению не подлежит, но зашифрованные файлы остались.

Однако удалось найти отдельный компьютер, который по подозрениям мог быть источником заражения.

В приложении новый CollectionLog  именно с этого компьютера. Скрипт пока не делали поскольку хотел у Вас узнать надо ли его делать. Так как объект анализа изменился и отличается от первоначального. Готовы сделать скрипт если Вы подтвердите. 

CollectionLog-2018.03.02-18.11.zip

Изменено 2 марта, 2018 пользователем Рик

[Soft]

@Рик, почему вы пишите с другой учётной записи? 

[Рик]

@Рик, почему вы пишите с другой учётной записи? 

Да проблема в том что на момент написания первого сообщения в данной теме у меня не было компьютера и данных на Рика (я изначально под Риком заходил на форум где-то год назад), вот и пришлось новый ник делать. Сегодня писал с родного компьютера там по умолчанию Рик стоит. Согласен это не совсем хорошо поэтому если нужно прошу удалить лишнюю запись (обе были сделаны на идентичные ящики только с разницей один mail другой gmail.

Можете Алео удалить а я например по ссылке в ящике подтвержу (на ваше усмотрение).

@Рик, почему вы пишите с другой учётной записи? 

Поправка оба ящика на gmail и они не идентичны (могу в ЛС отправить все данные по ящику и нику). Предупреждение видел.

Больше такого не повторится.

В прошлый раз мы пытались решить проблему знакомой компании с вирусом Hakuna Matata, тогда ввиду ограниченного времени пришлось обращаться в компанию и платить деньги (по сути тем же хакерам). Ключ сумели подобрать. Теперь проблема возникла у партнеров той компании.

Сейчас времени чуть больше  и очень не хочется опять обращаться к около легальным компаниям. Тем более что после атаки еще и сервер накрылся. Проблема как и в первом случае идентична зашифрованы файлы, которые нужны для отчетности компании и работы с госструктурами. Без расшифровки невозможно, а кормить хакеров тоже не хочется. Вот и пишу сюда с надеждой.

Информация

Ответил в ЛС

Изменено 2 марта, 2018 пользователем Soft

[Sandor]

сервер перестал работать

Вероятно это совпадение. В скрипте ничего жизненно важного для системы не задето.

 

компьютер, который по подозрениям мог быть источником заражения

Пока никаких следов не видно.

 

Дополнительно на этом же компьютере:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Рик]

 

 

В скрипте ничего жизненно важного для системы не задето.

Да в этом сомнений нет. Сервер перестал работать до скрипта. Мы не смогли на нем выполнить процедуру скрипта. Сервер просто больше не включился.

В связи с этим вопрос нужно ли выполнять процедуру описанную во 2м сообщении этой темы?

Процедуру Farbar Recovery Scan Tool постараемся сделать

[Sandor]

нужно ли выполнять процедуру описанную во 2м сообщении этой темы?

Нет, не нужно. Это было написано только для той системы.

[regist]

 

 

Да в этом сомнений нет. Сервер перестал работать до скрипта.

У вас был активный вирус в Автозагрузке. Так что скорее всего он просто дошифровал какие-то важные для сервера файла и из-за этого сервер лёг. А сбором логов скорее всего совпало из-за того, что во время сбора произошло обращение (чтение) к этим файлам.

[Рик]

Наконец выслали мне результаты работы Farbar Recovery Scan Tool

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Файл

C:\Users\a.cavatorta\Documents\scpres.vbs

Вам известен?

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  C:\WINDOWS\system32\default_error_stack*.txt
  2018-02-26 14:43 - 2018-02-26 14:44 - 000000255 _____ C:\Users\a.cavatorta\Desktop\X VALOTTA FILE DA RECUPERARE.txt
  2018-02-26 22:54 - 2018-02-26 22:54 - 000000000 _____ () C:\Users\a.cavatorta\AppData\Local\Temp\1.dll
  Zip: c:\FRST\Quarantine\
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

На рабочем столе появится архив Date_Time.zip (Дата_Время)

Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Подробнее читайте в этом руководстве.

[Рик]

 

 

C:\Users\a.cavatorta\Documents\scpres.vbs Вам известен?

Не уверен. А что это? Может местным он известен. Скажите что с этим надо делать. Остальную инструкцию сейчас будем делать

[Sandor]

Скажите что с этим надо делать

Упаковать в архив и прикрепить к следующему сообщению.

[Рик]

 

 

Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Я правильно понял что код нужно не просто скопировать а вставить в поле поиск прежде чем нажать Фикс. А то у вас не указано что его надо вставлять куда-либо. (Уточняю чтобы все правильно сделать)

Файл scpres.vbs прикрепим

 

 

Я правильно понял что код нужно не просто скопировать а вставить в поле поиск прежде чем нажать Фикс. А то у вас не указано что его надо вставлять куда-либо. (Уточняю чтобы все правильно сделать) Файл scpres.vbs прикрепим

Вопрос снимается, прочитал инструкцию

[Рик]

Вот требуемые файлы. Написал также письмо. Однако туда scpres.vbs не захотел прикрепляться (система пересылки такие файлы не пропускает). Отправил через ссылку.

Ждем дальнейших указаний...

Fixlog.zip

scpres.zip