cryptconsole Зашифрованы файлы

[Babayguy]

Зашифрованы файлы на сервере. Почти все файлы переименованы в xzer@tutanota.com_случайные цифры.
В папках с файлами появился html документ, предлагающий заплатить биткоин за разблокировку. Файлов очень много, несколько тб. Особо важных нет(были бэкапы) но всё же хочется восстановить хотя бы часть. Откуда шифровальщик попал на сервер неизвестно, скорее всего скачал кто-то из сотрудников. 

CollectionLog-2018.05.16-17.58.zip

Изменено 16 мая, 2018 пользователем Babayguy

[thyrex]

Файл с сообщением вымогателей прикрепите в архиве к следующему сообщению

[Babayguy]

"Сообщение слишком короткое".

HOW DECRIPT FILES.rar

[thyrex]

Ожидайте

[Babayguy]

Пример зашифрованого файла не нужно приложить? 

[thyrex]

На всякий случай приложите.

 

Update: проверьте ЛС

Изменено 16 мая, 2018 пользователем thyrex

[Babayguy]

В архиве пример зашифрованого файла и результат выполнения дешифратора на этот файл. 

Primer.rar

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Babayguy]

"Сообщение слишком короткое."

FRST.rar

[thyrex]

Возможно, это новая модификация. Нужно тело вируса

[Babayguy]

Где его взять и как выслать? Сервер уже чистил, вроде как. 

[thyrex]

Тут уж мне неведомо, где искать (и найдете ли). Обычно название файла с этим вирусом что-то типа smsss.exe (не путать с системным файлом smss.exe)

[thyrex]

Попробуйте с помощью программ восстановления данных поискать на Рабочем столе удаленный файл с возможным именем GGPN350MYXCLMNMEFW623R940N2TNHSO5WQFBCH8-lan.txt

Если подозреваете, что файл был запущен кем-то из сотрудников, придется это сделать и на их компьютерах. Еще возможен вариант захода злоумышленников по RDP путем подбора пароля к компьютеру какого-либо пользователя.

[Babayguy]

В любом случае, было решено всё просто отформатировать. Если переустановить ОС и отформатировать остальные жд, вирус 100% будет удален? 

[thyrex]

Активного вируса в логах не видно. По информации от зарубежных коллег никаких изменений алгоритма шифрования в версии с этой почтой нет.

Как вариант попробуйте поискать файл xzer@tutanota.com_736D7373732E657865. Это может быть просто переименованный файл шифратора.