Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Файлы компьютера зашифрованы шифровальщикоь BlackRuby. Названия поменялись на Encrypted_набор символов.BlackRubyLight

komsomolec
 Поделиться

Рекомендуемые сообщения

komsomolec Новичок

komsomolec

Опубликовано
Опубликовано

Windows Server 2003. Судя по всему вирус попал по RDP (я наблюдал процессы winlogon и (вроде) scrnsrv с кодами сеанса 2), пароль был 123456+три латинских символа. Зашифровал много. Т.к. я побоялся распространения, я сервер выключил и жесткий диск подключил к другой машине, предварительно установив на нее антивирус.

 

Кое-что было в резервных копиях, поэтому я прикладываю:
1) оригинальные файлы
2) зараженные файлы
3) текстовый файл с требованиями злоумышленников, в котором хранится открытый ключ.

4) какой-то кусок svchost из папки temp (возможно чем-то поможет)

Если понадобится, я дополнительно могу выслать любые необходимые для решения проблемы файлы. Можно попробовать прогнать диск программами восстановления файлов для выявления исходного вирусного исполняемого файла.

 

Заранее благодарю за помощь!

BlackRuby.zip

Ссылка на комментарий
Поделиться на другие сайты
komsomolec Новичок

komsomolec

Опубликовано
  • Автор
Опубликовано (изменено)

Этот автологгер можно запустить на другой системе, указав путь к зараженнной на другом диске?

Я не уверен, что смогу запустить систему и стремно, что вирус продолжит свое темное дело(

Из-под другой системы создал лог uVS из среды восстановления.

Если этого недостаточно, сообщите.

SERVER_2018-06-18_13-24-10.TXT

Изменено пользователем komsomolec
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Прикрепите J:\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\HOW-TO-DECRYPT-FILES.TXT

 

+ Скачайте Farbar Recovery Scan Tool  FRST_canned.png?dl=1 и сохраните на Рабочем столе.

 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить.Только одна из них запустится на Вашей системе.
 
Скопируйте FRST на флэш-накопитель:
 
FRST64.png?dl=1
 
Загрузитесь в среду восстановления с жесткого диска (нажмите F8 и выберите пункт Устранение неполадок компьютера). Вставьте USB-накопитель в  компьютер. 
 
Выберите Командная строка
 
system%20recovery%20options.jpg?dl=1
 
В командной строке введите следующее:
 
notepad и нажмите клавишу Enter
Откроется Блокнот. В меню Файл выберите Открыть
Выберите "Компьютер", найдите букву своего флэш-накопителя и закройте Блокнот. 
В окне введите команду e:\frst64.exe и нажмите клавишу Enter
Примечание: Замените букву e на букву вашего флэш-накопителя. 
 
  • После того, как программа запустится, нажмите Yes для соглашения с предупреждением.
  • Нажмите кнопку Scan
  • После окончания сканирования на флэш-накопителе будет создан отчёт (FRST.txt). Пожалуйста, прикрепите его в следующем сообщении.
FRST.png?dl=1
 
Ссылка на комментарий
Поделиться на другие сайты
komsomolec Новичок

komsomolec

Опубликовано
  • Автор
Опубликовано

В Windows Server 2003 интерфейс восстановления системы другой, конечно, но по аналогии сделал как вы указали. Файл HOW TO DECRYPT уже высылал в первом сообщении, дублирую во вложении.

Addition.txt

FRST.txt

Shortcut.txt

HOW-TO-DECRYPT-FILES.txt

Ссылка на комментарий
Поделиться на другие сайты
komsomolec Новичок

komsomolec

Опубликовано
  • Автор
Опубликовано

J:\WINDOWS\Temp\agacj.exe - quarantined

J:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\G6UT1VYE\OJBK[1].exe - quarantined

J:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\G6UT1VYE\newupdate[1].exe - quarantined

J:\Documents and Settings\All Users\Application Data\Windows\Classes\{a1e7b463-e13e-6517-9ca1-c41ae573976c}\msupdlgf.exe - quarantined

Ссылка на комментарий
Поделиться на другие сайты
komsomolec Новичок

komsomolec

Опубликовано
  • Автор
Опубликовано

Пришлите карантин Cureit в архиве. 

Он почему-то не сохранился( Я могу попробовать прогнать программой для восстановления и попытаться восстановить файлы вируса. Это может помочь?

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано (изменено)

Да карантин нужен, чтобы запрос оформить в техподдержку. Здесь по любому придется создавать https://forum.kasperskyclub.ru/index.php?showtopic=48525 запрос

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Reshat
      Зашифровали компьютер
      Автор Reshat
      Добрый день!Зашифровали компьютер с файлами пишут:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by KOZANOSTRA
      Your decryption ID is <ID>*KOZANOSTRA-<ID>
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - vancureez@tuta.io
      2) Telegram - @DataSupport911 or https://t.me/DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      Файлы скана прикрепляю к сообщению.
      Addition.txt FRST.txt
    • 4tetree
      Зашифровали компьютер
      Автор 4tetree
      Добрый день!Зашифровали компьютер с файлами пишут:
       
      ссылка удалена ссылка на скачивание двух зараженных файлов
    • Fantamax
      Шифровальщик - вымогатор поменял расширение файлов на i54m390g5b4
      Автор Fantamax
      Добрый день. Сегодня в 6 утра вирус поменял расширение у многих файлов и зашифровал. 
      Похожая тема была, но у меня есть бекапы некоторых файлов, можно ли расшифровать (файл бекапа тоже прикрепил в архив):
       
      Addition.txt FRST.txt files.rar
    • trhion3
      Зашифровали файлы в формат .elbie
      Автор trhion3
      Здравствуйте, поймали шифровальщика, файлы имеют вид "Имя_файла.Расширение.id[FCEE43BB-3398].[helprequest@techmail.info].Elbie".
      В прикрепе файлы из папки AppData\Local\Microsoft\Media Player\Sync Playlists\ru-RU\0000CA74, 0000CA74 - может иначе называться, но файлы внутри те же. Там вроде какие-то стандартные виндовые данные из проигрывателя. Оригиналы брал уже со своей системы, Windows 10 x64 и у меня и зараженная, плеером никто никогда ни там ни там не пользовались, так что думаю эти файлы не изменялись с момента установки системы ни там ни там.
      Смотрел другие темы с тегом elbie, вроде как phobos и расшифровки нет, но решил на всякий случай попробовать обратиться.
      Addition.txt FRST.txt зашифрованное.7z
    • MirTa
      Троян ISTANBULTEAM зашифровал файлы
      Автор MirTa
      Здравствуйте, вчера в два этапа  10.00 и  20.00 оказались зашифрованы почти все файлы, в том числе и архиватор, поэтому не могу сложить в архив и не могу их прикрепить, подскажите, пожалуйста, как их сюда добавить
      Important_Notice.txt Addition.txt FRST.txt
×
×
  • Создать...