Ershov 0 Опубликовано 3 апреля, 2018 Share Опубликовано 3 апреля, 2018 (изменено) Зашифрованы данные на сервере и всех компьютерах в сети с каталогом с права общего доступа. Антивирус установлен все базы обновлены. Файлы имеют вид - "C:\Родин.rtf.SAMBUKA "Сообщение от злоумышленников лежит в файле "HOW_TO_BACK_FILES.html", в каждой папке и содержит:": YOUR PERSONAL ID 46 B8 17 92 9D 0C 73 68 BB 00 A8 3A C6 4A 31 D6 77 C6 79 C0 DD E2 4A CB 49 57 BC 8A 38 C4 6B 13 A4 6D 67 4C 15 16 73 D2 1B 38 21 C8 4E 50 F5 AC 98 BA 08 41 E7 FD 7F 48 07 F3 BC C1 87 D0 46 81 9A A8 A4 E6 07 D4 57 56 3A 35 D0 70 50 8D F2 B4 15 F6 AC 1A E3 5B 00 0C 43 8E 56 1A 4D 5B 75 42 0F 15 C4 83 A8 BB 57 B7 33 97 E4 16 04 DC 01 22 F0 48 F3 36 FE DD 9F 51 E5 E6 AC 29 55 72 5A 49 78 09 62 52 48 94 87 54 97 3E 6B 1E E7 22 A8 79 D6 B2 D5 D0 E2 4C 60 B8 BD AD F3 E0 1C 84 2A 9B 24 FD C1 4D F4 54 E9 7F 76 EC 68 C5 1F C0 EB ED 9F 05 5D D7 5A C5 01 99 FC E0 C9 B3 82 D3 A5 08 AD AD 29 8F 7A 88 70 93 50 49 47 47 5C 74 2A 67 64 F6 6C F1 A0 E4 FE F4 3D AA 5B 61 53 78 C7 7A 67 15 7E 69 DA 64 C1 3F 7D EB 4D 1F EE 00 B2 28 6F 97 B1 E6 85 2E 20 AB A1 DC 74 36 A8 54 47 F4 ENGLISH ☣ YOUR FILES ARE ENCRYPTED! ☣ TO DECRYPT, FOLLOW THE INSTRUCTIONS BELOW. To recover data you need decryptor. To get the decryptor you should: Send 1 crypted test image or text file or document to sambuka_star@aol.com (Or alternate mail sambuka_star@india.com) In the letter include your personal ID (look at the beginning of this document). We will give you the decrypted file and assign the price for decryption all files After we send you instruction how to pay for decrypt and after payment you will receive a decryptor and instructions We can decrypt one file in quality the evidence that we have the decoder. MOST IMPORTANT!!! You can not decrypt your files cheaper than we offer you. You can refer to other services that promise to decrypt you, BUT IT WILL BE MORE EXPENSIVE. No one, except sambuka_star@aol.com, will decrypt your files with a guarantee 100%. Only sambuka_star@aol.com can with a guarantee decrypt your files Do not trust anyone besides sambuka_star@aol.com Antivirus programs can delete this document and you can not contact us later. Attempts to self-decrypting files will result in the loss of your data Decoders other users are not compatible with your data, because each user's unique encryption key CollectionLog-2018.04.03-12.33.zip Изменено 3 апреля, 2018 пользователем regist спрятал под спойлер Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 3 апреля, 2018 Share Опубликовано 3 апреля, 2018 Здравствуйте! лежит в файле "HOW_TO_BACK_FILES.html"Этот файл вместе с парой зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению. Впечатление такое, что не только этот вымогатель побывал в системе. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Program Files\MinerGate\minergate.exe', ''); QuarantineFile('C:\Users\Test\AppData\Roaming\bild.exe.exe', ''); QuarantineFile('C:\Users\Test\AppData\Roaming\Info.hta', ''); DeleteFile('C:\Program Files\MinerGate\minergate.exe', '32'); DeleteFile('C:\Users\Test\AppData\Roaming\bild.exe.exe', '32'); DeleteFile('C:\Users\Test\AppData\Roaming\Info.hta', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MinerGateGui'); RegKeyParamDel('HKEY_USERS', 'S-1-5-21-4050915287-1191641421-694033985-1005\Software\Microsoft\Windows\CurrentVersion\Run', 'bild.exe.exe'); RegKeyParamDel('HKEY_USERS', 'S-1-5-21-4050915287-1191641421-694033985-1005\Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Test\AppData\Roaming\Info.hta'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; end. Пожалуйста, перезагрузите компьютер вручную. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Цитата Ссылка на сообщение Поделиться на другие сайты
Ershov 0 Опубликовано 3 апреля, 2018 Автор Share Опубликовано 3 апреля, 2018 / CollectionLog-2018.04.03-14.34.zip 03.04.7z Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 3 апреля, 2018 Share Опубликовано 3 апреля, 2018 Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Ershov 0 Опубликовано 3 апреля, 2018 Автор Share Опубликовано 3 апреля, 2018 KLAN-7860037990 , Addition.txt FRST.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 3 апреля, 2018 Share Опубликовано 3 апреля, 2018 Кроме KLAN желательно еще сам ответ увидеть. К сожалению, тип вымогателя GlobeImposter 2.0 и расшифровки нет. Будет только очистка следов: Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: 2018-04-03 01:36 - 2018-04-03 01:36 - 000005465 _____ C:\Users\Default\HOW_TO_BACK_FILES.html 2018-04-03 01:35 - 2018-04-03 01:35 - 000005465 _____ C:\Users\desyatovas\HOW_TO_BACK_FILES.html 2018-04-03 01:35 - 2018-04-03 01:35 - 000005465 _____ C:\Users\desyatovas\Downloads\HOW_TO_BACK_FILES.html 2018-04-03 01:35 - 2018-04-03 01:35 - 000005465 _____ C:\Users\desyatovas\Documents\HOW_TO_BACK_FILES.html 2018-04-03 01:35 - 2018-04-03 01:35 - 000005465 _____ C:\Users\desyatovas\Desktop\HOW_TO_BACK_FILES.html 2018-04-03 01:09 - 2018-04-03 01:09 - 000005465 _____ C:\Users\ershovan\AppData\Local\Temp\HOW_TO_BACK_FILES.html 2018-04-03 01:02 - 2018-04-03 01:02 - 000005465 _____ C:\Users\ershovan\Desktop\HOW_TO_BACK_FILES.html 2018-04-03 01:01 - 2018-04-03 01:01 - 000005465 _____ C:\Users\polivodape\HOW_TO_BACK_FILES.html 2018-04-03 01:01 - 2018-04-03 01:01 - 000005465 _____ C:\Users\polivodape\Downloads\HOW_TO_BACK_FILES.html 2018-04-03 01:01 - 2018-04-03 01:01 - 000005465 _____ C:\Users\polivodape\Documents\HOW_TO_BACK_FILES.html 2018-04-03 01:01 - 2018-04-03 01:01 - 000005465 _____ C:\Users\polivodape\Desktop\HOW_TO_BACK_FILES.html 2018-04-03 01:01 - 2018-04-03 01:01 - 000005465 _____ C:\Users\MSSQL$UCSQL\HOW_TO_BACK_FILES.html 2018-04-03 01:01 - 2018-04-03 01:01 - 000005465 _____ C:\Users\kud\HOW_TO_BACK_FILES.html 2018-04-03 01:01 - 2018-04-03 01:01 - 000005465 _____ C:\Users\kud\Downloads\HOW_TO_BACK_FILES.html 2018-04-03 01:01 - 2018-04-03 01:01 - 000005465 _____ C:\Users\kud\Documents\HOW_TO_BACK_FILES.html 2018-04-03 01:01 - 2018-04-03 01:01 - 000005465 _____ C:\Users\kud\Desktop\HOW_TO_BACK_FILES.html 2018-04-03 01:01 - 2018-04-03 01:01 - 000005465 _____ C:\Users\ershovan\HOW_TO_BACK_FILES.html 2018-04-03 01:01 - 2018-04-03 01:01 - 000005465 _____ C:\Users\ershovan\Downloads\HOW_TO_BACK_FILES.html 2018-04-03 01:01 - 2018-04-03 01:01 - 000005465 _____ C:\Users\ershovan\Documents\HOW_TO_BACK_FILES.html 2018-04-03 01:00 - 2018-04-03 01:00 - 000005465 _____ C:\Users\Public\HOW_TO_BACK_FILES.html 2018-04-03 01:00 - 2018-04-03 01:00 - 000005465 _____ C:\Users\Public\Downloads\HOW_TO_BACK_FILES.html 2018-04-03 01:00 - 2018-04-03 01:00 - 000005465 _____ C:\Users\Public\Documents\HOW_TO_BACK_FILES.html 2018-04-03 01:00 - 2018-04-03 01:00 - 000005465 _____ C:\Users\Public\Desktop\HOW_TO_BACK_FILES.html 2018-04-03 01:00 - 2018-04-03 01:00 - 000005465 _____ C:\Users\prozhorinsv\HOW_TO_BACK_FILES.html 2018-04-03 01:00 - 2018-04-03 01:00 - 000005465 _____ C:\Users\prozhorinsv\Downloads\HOW_TO_BACK_FILES.html 2018-04-03 01:00 - 2018-04-03 01:00 - 000005465 _____ C:\Users\prozhorinsv\Documents\HOW_TO_BACK_FILES.html 2018-04-03 01:00 - 2018-04-03 01:00 - 000005465 _____ C:\Users\prozhorinsv\Desktop\HOW_TO_BACK_FILES.html 2018-04-03 00:59 - 2018-04-03 00:59 - 000005465 _____ C:\Users\softsib\Downloads\HOW_TO_BACK_FILES.html 2018-04-03 00:59 - 2018-04-03 00:59 - 000005465 _____ C:\Users\softsib\Documents\HOW_TO_BACK_FILES.html 2018-04-03 00:59 - 2018-04-03 00:59 - 000005465 _____ C:\Users\softsib\Desktop\HOW_TO_BACK_FILES.html 2018-04-03 00:59 - 2018-04-03 00:59 - 000005465 _____ C:\Users\softsib\AppData\Local\Temp\HOW_TO_BACK_FILES.html 2018-04-03 00:59 - 2018-04-03 00:59 - 000005465 _____ C:\Users\ShvetsovAV\HOW_TO_BACK_FILES.html 2018-04-03 00:59 - 2018-04-03 00:59 - 000005465 _____ C:\Users\ShvetsovAV\Downloads\HOW_TO_BACK_FILES.html 2018-04-03 00:59 - 2018-04-03 00:59 - 000005465 _____ C:\Users\ShvetsovAV\Documents\HOW_TO_BACK_FILES.html 2018-04-03 00:59 - 2018-04-03 00:59 - 000005465 _____ C:\Users\ShvetsovAV\Desktop\HOW_TO_BACK_FILES.html 2018-04-03 00:59 - 2018-04-03 00:59 - 000005465 _____ C:\Users\ShvetsovAV\AppData\Roaming\HOW_TO_BACK_FILES.html 2018-04-03 00:59 - 2018-04-03 00:59 - 000005465 _____ C:\Users\ShvetsovAV\AppData\Local\Temp\HOW_TO_BACK_FILES.html 2018-04-03 00:58 - 2018-04-03 00:58 - 000005465 _____ C:\Users\uk\Documents\HOW_TO_BACK_FILES.html 2018-04-03 00:58 - 2018-04-03 00:58 - 000005465 _____ C:\Users\uk\Desktop\HOW_TO_BACK_FILES.html 2018-04-03 00:58 - 2018-04-03 00:58 - 000005465 _____ C:\Users\ucs\HOW_TO_BACK_FILES.html 2018-04-03 00:58 - 2018-04-03 00:58 - 000005465 _____ C:\Users\ucs\Downloads\HOW_TO_BACK_FILES.html 2018-04-03 00:58 - 2018-04-03 00:58 - 000005465 _____ C:\Users\ucs\Documents\HOW_TO_BACK_FILES.html 2018-04-03 00:58 - 2018-04-03 00:58 - 000005465 _____ C:\Users\ucs\Desktop\HOW_TO_BACK_FILES.html 2018-04-03 00:58 - 2018-04-03 00:58 - 000005465 _____ C:\Users\ucs\AppData\Local\Temp\HOW_TO_BACK_FILES.html 2018-04-03 00:58 - 2018-04-03 00:58 - 000005465 _____ C:\Users\Test\HOW_TO_BACK_FILES.html 2018-04-03 00:58 - 2018-04-03 00:58 - 000005465 _____ C:\Users\Test\Downloads\HOW_TO_BACK_FILES.html 2018-04-03 00:58 - 2018-04-03 00:58 - 000005465 _____ C:\Users\Test\Documents\HOW_TO_BACK_FILES.html 2018-04-03 00:58 - 2018-04-03 00:58 - 000005465 _____ C:\Users\Test\Desktop\HOW_TO_BACK_FILES.html 2018-04-03 00:58 - 2018-04-03 00:58 - 000005465 _____ C:\Users\softsib\HOW_TO_BACK_FILES.html 2018-04-03 00:57 - 2018-04-03 00:57 - 000005465 _____ C:\Users\VLM\AppData\Roaming\HOW_TO_BACK_FILES.html 2018-04-03 00:57 - 2018-04-03 00:57 - 000005465 _____ C:\Users\VLM\AppData\Local\Temp\HOW_TO_BACK_FILES.html 2018-04-03 00:57 - 2018-04-03 00:57 - 000005465 _____ C:\Users\uk\HOW_TO_BACK_FILES.html 2018-04-03 00:57 - 2018-04-03 00:57 - 000005465 _____ C:\Users\uk\Downloads\HOW_TO_BACK_FILES.html 2018-04-03 00:56 - 2018-04-03 00:56 - 000005465 _____ C:\Users\Администратор\AppData\Local\Temp\HOW_TO_BACK_FILES.html 2018-04-03 00:56 - 2018-04-03 00:56 - 000005465 _____ C:\Users\VLM\HOW_TO_BACK_FILES.html 2018-04-03 00:56 - 2018-04-03 00:56 - 000005465 _____ C:\Users\VLM\Downloads\HOW_TO_BACK_FILES.html 2018-04-03 00:56 - 2018-04-03 00:56 - 000005465 _____ C:\Users\VLM\Documents\HOW_TO_BACK_FILES.html 2018-04-03 00:56 - 2018-04-03 00:56 - 000005465 _____ C:\Users\VLM\Desktop\HOW_TO_BACK_FILES.html 2018-04-03 00:55 - 2018-04-03 00:55 - 000005465 _____ C:\Users\Администратор\HOW_TO_BACK_FILES.html 2018-04-03 00:55 - 2018-04-03 00:55 - 000005465 _____ C:\Users\Администратор\Downloads\HOW_TO_BACK_FILES.html 2018-04-03 00:55 - 2018-04-03 00:55 - 000005465 _____ C:\Users\Администратор\Documents\HOW_TO_BACK_FILES.html 2018-04-03 00:55 - 2018-04-03 00:55 - 000005465 _____ C:\Users\Администратор\Desktop\HOW_TO_BACK_FILES.html 2018-04-03 00:49 - 2018-04-03 00:49 - 000005465 _____ C:\Users\Все пользователи\HOW_TO_BACK_FILES.html 2018-04-03 00:49 - 2018-04-03 00:49 - 000005465 _____ C:\Users\HOW_TO_BACK_FILES.html 2018-04-03 00:49 - 2018-04-03 00:49 - 000005465 _____ C:\ProgramData\HOW_TO_BACK_FILES.html 2018-04-02 23:51 - 2018-04-02 23:51 - 000005465 _____ C:\HOW_TO_BACK_FILES.html End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Ershov 0 Опубликовано 3 апреля, 2018 Автор Share Опубликовано 3 апреля, 2018 А запрос на расшифровку можно создать? Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 3 апреля, 2018 Share Опубликовано 3 апреля, 2018 желательно еще сам ответ увидеть Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению запрос на расшифровку можно создать?Да, можно. Цитата Ссылка на сообщение Поделиться на другие сайты
Ershov 0 Опубликовано 3 апреля, 2018 Автор Share Опубликовано 3 апреля, 2018 (изменено) Fixlog.txt нет такого файла Благодарим за обращение в Антивирусную ЛабораториюПрисланные вами файлы были проверены в автоматическом режиме.В антивирусных базах информация по присланным вами файлам отсутствует:quarantine.zipФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.Антивирусная Лаборатория, Kaspersky Lab HQ Изменено 3 апреля, 2018 пользователем Ershov Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 3 апреля, 2018 Share Опубликовано 3 апреля, 2018 Fixlog.txt нет такого файлаЗначит Вы не выполнили фикс из сообщения №6 Цитата Ссылка на сообщение Поделиться на другие сайты
Ershov 0 Опубликовано 3 апреля, 2018 Автор Share Опубликовано 3 апреля, 2018 Ошибка Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 3 апреля, 2018 Share Опубликовано 3 апреля, 2018 Будьте внимательны. Это скрипт для программы FRST. Перечитайте еще раз инструкцию под скриптом. Цитата Ссылка на сообщение Поделиться на другие сайты
Ershov 0 Опубликовано 3 апреля, 2018 Автор Share Опубликовано 3 апреля, 2018 (изменено) Есть еще 2 зараженных сервера информация на них не нужна чем их проверить пролечить? FRST.txt Изменено 3 апреля, 2018 пользователем Ershov Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 3 апреля, 2018 Share Опубликовано 3 апреля, 2018 скрипт для программы FRSTПолучилось? еще 2 зараженных сервераДля каждого создайте отдельную тему и прикрепите свой CollectionLog. Цитата Ссылка на сообщение Поделиться на другие сайты
Ershov 0 Опубликовано 3 апреля, 2018 Автор Share Опубликовано 3 апреля, 2018 как оформить расшифровку? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.