Перейти к содержанию

Как расшифровать файлы .java (возможно CrySiS/Dharma)

Алео
 Поделиться

Рекомендуемые сообщения

Алео

Алео

Опубликовано
Опубликовано
Коллеги подцепили вирус шифровальщик. Были заражены компьютеры с информацией по Итальянским партнерам, то что могли восстановить восстановили но осталось много важных документов без копии. Файлы приобрели название типа

miofile.txt.txt.id-0CBE61F3.[Vegas_MOZ6@protonmail.com].java

12 Traccia 12.wma.id-0CBE61F3.[Vegas_MOZ6@protonmail.com].java

 

Что делать и кто виноват в ненадлежащей безопасности ясно. Нужно понять есть ли возможность не идти на поводу у хакеров и не платить или все же придется платить. Каковы шансы обойтись без оплаты хакерам? Восстанавливать по любому придется только вот если платить то лучше не хакерам. 

Пробовал ransomwarefiledecryptor на образцы зашифрованных файлов применить. В поле тип вируса писал не знаю - определялось как Crysis зараженные файлы находились а расшифрованные=0

 Те кто мне пересылал написали что это один из вариантов CrySiS называется Dharma но они не уверены

Выслали мне наконец требуемый Collectionlog+требование оплатить расшифровку+ есть образцы зашифрованных файлов. несколько файлов в зашифрованном и не зашифрованном виде - оригинал+зашифрованная версия (то что предлагалось расшифровать бесплатно)

 

CollectionLog-2018.02.27-17.30.zip

образцы файлов зашифрованный и оригинал.zip

требование оплатить расшифровку.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('OracleRemExecServiceV2');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\123.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\Administrator\AppData\Roaming\123.exe', '');
 QuarantineFile('C:\Users\Administrator\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\123.exe', '');
 QuarantineFile('C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\123.exe', '');
 QuarantineFile('C:\Users\VALFER~1\AppData\Local\Temp\oraremservicev2\RemoteExecService.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\123.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '32');
 DeleteFile('C:\Users\Administrator\AppData\Roaming\123.exe', '32');
 DeleteFile('C:\Users\Administrator\AppData\Roaming\Info.hta', '32');
 DeleteFile('C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\123.exe', '32');
 DeleteFile('C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '32');
 DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\123.exe', '32');
 DeleteFile('C:\Users\VALFER~1\AppData\Local\Temp\oraremservicev2\RemoteExecService.exe', '32');
 DeleteService('OracleRemExecServiceV2');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', '123.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Administrator\AppData\Roaming\Info.hta');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Рик

Рик

Опубликовано
Опубликовано (изменено)

-


Прошу прощения за задержку. После первого запуска AutoLogger и присланного Вам по итогам CollectionLog сервер перестал работать. 2 дня специалисты пытались восстановить сервер и выполнить скрипт, но безуспешно. Сервер который анализировался изначально восстановлению не подлежит, но зашифрованные файлы остались.
Однако удалось найти отдельный компьютер, который по подозрениям мог быть источником заражения.
В приложении новый CollectionLog  именно с этого компьютера. Скрипт пока не делали поскольку хотел у Вас узнать надо ли его делать. Так как объект анализа изменился и отличается от первоначального. Готовы сделать скрипт если Вы подтвердите. 

CollectionLog-2018.03.02-18.11.zip

Изменено пользователем Рик
Рик

Рик

Опубликовано
Опубликовано (изменено)

@Рик, почему вы пишите с другой учётной записи? 

Да проблема в том что на момент написания первого сообщения в данной теме у меня не было компьютера и данных на Рика (я изначально под Риком заходил на форум где-то год назад), вот и пришлось новый ник делать. Сегодня писал с родного компьютера там по умолчанию Рик стоит. Согласен это не совсем хорошо поэтому если нужно прошу удалить лишнюю запись (обе были сделаны на идентичные ящики только с разницей один mail другой gmail.

Можете Алео удалить а я например по ссылке в ящике подтвержу (на ваше усмотрение).

@Рик, почему вы пишите с другой учётной записи? 

Поправка оба ящика на gmail и они не идентичны (могу в ЛС отправить все данные по ящику и нику). Предупреждение видел.

Больше такого не повторится.

В прошлый раз мы пытались решить проблему знакомой компании с вирусом Hakuna Matata, тогда ввиду ограниченного времени пришлось обращаться в компанию и платить деньги (по сути тем же хакерам). Ключ сумели подобрать. Теперь проблема возникла у партнеров той компании.

Сейчас времени чуть больше  и очень не хочется опять обращаться к около легальным компаниям. Тем более что после атаки еще и сервер накрылся. Проблема как и в первом случае идентична зашифрованы файлы, которые нужны для отчетности компании и работы с госструктурами. Без расшифровки невозможно, а кормить хакеров тоже не хочется. Вот и пишу сюда с надеждой.

Информация

Ответил в ЛС

Изменено пользователем Soft
Sandor

Sandor

Опубликовано
Опубликовано

сервер перестал работать

Вероятно это совпадение. В скрипте ничего жизненно важного для системы не задето.

 

компьютер, который по подозрениям мог быть источником заражения

Пока никаких следов не видно.

 

Дополнительно на этом же компьютере:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Рик

Рик

Опубликовано
Опубликовано

 

 


В скрипте ничего жизненно важного для системы не задето.

Да в этом сомнений нет. Сервер перестал работать до скрипта. Мы не смогли на нем выполнить процедуру скрипта. Сервер просто больше не включился.

В связи с этим вопрос нужно ли выполнять процедуру описанную во 2м сообщении этой темы?

Процедуру Farbar Recovery Scan Tool постараемся сделать

Sandor

Sandor

Опубликовано
Опубликовано

нужно ли выполнять процедуру описанную во 2м сообщении этой темы?

Нет, не нужно. Это было написано только для той системы.
regist

regist

Опубликовано
Опубликовано

 

 


Да в этом сомнений нет. Сервер перестал работать до скрипта.
У вас был активный вирус в Автозагрузке. Так что скорее всего он просто дошифровал какие-то важные для сервера файла и из-за этого сервер лёг. А сбором логов скорее всего совпало из-за того, что во время сбора произошло обращение (чтение) к этим файлам.
Sandor

Sandor

Опубликовано
Опубликовано

Файл

C:\Users\a.cavatorta\Documents\scpres.vbs

Вам известен?
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
C:\WINDOWS\system32\default_error_stack*.txt
2018-02-26 14:43 - 2018-02-26 14:44 - 000000255 _____ C:\Users\a.cavatorta\Desktop\X VALOTTA FILE DA RECUPERARE.txt
2018-02-26 22:54 - 2018-02-26 22:54 - 000000000 _____ () C:\Users\a.cavatorta\AppData\Local\Temp\1.dll
Zip: c:\FRST\Quarantine\
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

На рабочем столе появится архив Date_Time.zip (Дата_Время)

Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Подробнее читайте в этом руководстве.

Рик

Рик

Опубликовано
Опубликовано

 

 


C:\Users\a.cavatorta\Documents\scpres.vbs Вам известен?

Не уверен. А что это? Может местным он известен. Скажите что с этим надо делать. Остальную инструкцию сейчас будем делать

Sandor

Sandor

Опубликовано
Опубликовано

Скажите что с этим надо делать

Упаковать в архив и прикрепить к следующему сообщению.
Рик

Рик

Опубликовано
Опубликовано

 

 


Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Я правильно понял что код нужно не просто скопировать а вставить в поле поиск прежде чем нажать Фикс. А то у вас не указано что его надо вставлять куда-либо. (Уточняю чтобы все правильно сделать)

Файл scpres.vbs прикрепим


 

 


Я правильно понял что код нужно не просто скопировать а вставить в поле поиск прежде чем нажать Фикс. А то у вас не указано что его надо вставлять куда-либо. (Уточняю чтобы все правильно сделать) Файл scpres.vbs прикрепим

Вопрос снимается, прочитал инструкцию

Рик

Рик

Опубликовано
Опубликовано

Вот требуемые файлы. Написал также письмо. Однако туда scpres.vbs не захотел прикрепляться (система пересылки такие файлы не пропускает). Отправил через ссылку.

Ждем дальнейших указаний...

Fixlog.zip

scpres.zip

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • merlin_hal
      id-70FAE858.[3048664056@qq.com] WALLET
      Автор merlin_hal
      Практически все файлы были зашифрованы и теперь имеют вид: *.docx.id-70FAE858.[3048664056@qq.com] Затронут как пакет MSOffice, так и *.jpg, *.pdf и т.п. Так же на локальном диске был создан файл с содержанием: 
      Your documents, photos, databases, save games and other important data has been encrypted. Data recovery requires decoder. To obtain decoder, please contact me by email: 3048664056@qq.com or patrik.swize@gmx.de or through the service https://bitmsg.me, and send me a message to the address: BM-2cWpwwPT9bqLv7D1VMSFUNJZgQ1mKBRgxK Компьютер в домене и был затронут частично сетевой диск CollectionLog-2017.04.12-14.06.zip
    • Эдуард Пятницкий
      Шифровальшик volantem_diem@aol.com
      Автор Эдуард Пятницкий
      Добрый день!

      Вирус зашифровал множество файлов Program Files Антивирус kaspersky endpoint security 10 его пропустил.

      Помогите пожалуйста расшифровать. Прикрепляю сам вирус и пару зараженных файлов

       


      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте вредоносные и потенциально вредоносные ссылки и файлы на форуме.
    • SergeyKomarov
      вирус Wallet (Satan-stn)
      Автор SergeyKomarov
      Утром пришли на работу, увидели, что один из серверов зашифрован вирусом wallet
      Все файлы имеют расширение: r.id-A7C85580.[satan-Stn@bitmessage.ch].wallet
      Удалённый доступ был блокирован desktop lock express
      От него избавились, а вот от wallet - нет.
      Зашифрованы все файлы на сервере, где хранится 1С, в том числе и в ProgramFiles.
      Кроме того, зашифрован внешний жёсткий диск с бэкапом и второй копьютер с 1С
      CollectionLog-2017.04.13-12.23.zip
    • Асылбек
      зашифрованые файлы (.WALLET)
      Автор Асылбек
      Здравствуйте! я поймал вирус шифровальщик (.WALLET) т.е ко всем файлам на компьютере добавилось расширение  .WALLET, а исходные файлы имеют размер 0кб. 
       
      Есть ли решение по дешифровке файлов?
       
      во вложении файл оригинал и зашифрованный.
         
      зашифрованый файл.rar
    • Print1972g
      Зашифровано шифровальщиком
      Автор Print1972g
      поймали шифровальщик, после зашифровки появился файл на диске D с ключем и ссылкой на сай для покупки дешифратора
      CollectionLog-2017.04.10-10.52.zip
×
×
  • Создать...