Перейти к содержанию

шифровальщик [Worldcry@cock.li] на сетевом накопителе


Рекомендуемые сообщения

Доброго времени суток. кто-то в сети подхватил вирус шифровальщик, который попортил файлы на сетевом накопителе. Почти все удалось из бэкапов, кроме одной важной папки. все зашифрованные файлы имеют разрешение  PAY_IN_MAXIM_24_HOURS_OR_ALL_YOUR_FILES_WILL_BE_PERMANENTLY_DELETED_PLEASE_BE_REZONABLE_you_have_only_1_single_chance_to_make_the_payment.id-F25E5DE4.[Worldcry@cock.li]

В каждой папке с зашифрованными файлами лежит файл HOW TO DECRYPT FILES.txt со следующим содержанием:

 

All your important files were BLOCKED on this computer.
 
Encrtyption was produced using unique KEY generated for this computer. 
 
To decrypted files, you need to otbtain private key. 
The single copy of the private key, with will allow you to decrypt the files, is locate on a secret server on the internet;
The server will destroy the key within 24 hours after encryption completed.
REMEMBER YOU HAVE ONLY 24 HOURS TO PAY EVERITHING IS AUTOMATICALLY!
To retrieve the private key, you need to pay 0.7 BTC
 
Bitcoins have to be sent to this address: 3J1MD7EAzdaYeWBDA71t7NShkC64W4a41T
 
After you've sent the payment send us an email to : Email_Decryptor_Payment@scryptmail.com  with subject : ERROR-ID-63100606(0.7BTC)
If you are  not familiar with bitcoin you can buy it from here :
SITE : www.localbitcoin.com
If you try to use third party for help  we will delete all your files
After we confirm the payment , we send the private key so you can decrypt your system.
 
просьба помочь с расшифровкой

CollectionLog-2018.06.25-15.37.zip

Ссылка на комментарий
Поделиться на другие сайты

Пример зашифрованного doc или docx файла прикрепите в архиве к следующему сообщению

 

c:\users\Лукьянчук.cltrans\documents\visual studio 2010\projects\windowsservice1\windowsservice1\bin\debug\windowsservice1.exe - Ваше?

 

 

Выполните скрипт в AVZ

begin
DeleteService('yewjbkjo');
 DeleteService('scfezisg');
 DeleteService('sekjiquc');
 DeleteService('spkvefpg');
 DeleteService('sxlgkebf');
 DeleteService('tljdlfuo');
 DeleteService('iddooruj');
 DeleteService('aofliykn');
 DeleteService('ayykuvfk');
 DeleteService('azfyjzmt');
 DeleteService('blxklozv');
 DeleteService('ddfsgese');
 DeleteService('dkxtekbl');
 DeleteService('erpfqsbb');
 DeleteFile('C:\Windows\system32\drivers\aofliykn.sys','64');
 DeleteFile('C:\Windows\system32\drivers\ayykuvfk.sys','64');
 DeleteFile('C:\Windows\system32\drivers\azfyjzmt.sys','64');
 DeleteFile('C:\Windows\system32\drivers\blxklozv.sys','64');
 DeleteFile('C:\Windows\system32\drivers\ddfsgese.sys','64');
 DeleteFile('C:\Windows\system32\drivers\dkxtekbl.sys','64');
 DeleteFile('C:\Windows\system32\drivers\erpfqsbb.sys','64');
 DeleteFile('C:\Windows\system32\drivers\iddooruj.sys','64');
 DeleteFile('C:\Windows\system32\drivers\scfezisg.sys','64');
 DeleteFile('C:\Windows\system32\drivers\sekjiquc.sys','64');
 DeleteFile('C:\Windows\system32\drivers\spkvefpg.sys','64');
 DeleteFile('C:\Windows\system32\drivers\sxlgkebf.sys','64');
 DeleteFile('C:\Windows\system32\drivers\tljdlfuo.sys','64');
 DeleteFile('C:\Windows\system32\drivers\yewjbkjo.sys','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.
Ссылка на комментарий
Поделиться на другие сайты

c:\users\Лукьянчук.cltrans\documents\visual studio 2010\projects\windowsservice1\windowsservice1\bin\debug\windowsservice1.exe - Ваше?

Да, это наши тесты

 

пример файлов во вложении

скрипт смогу выполнить утром, когда буду за рабочим компьютером

Спасибо

кажется не прикрепился архив

еще одна попытка

файлы.zip

Ссылка на комментарий
Поделиться на другие сайты

Как я и предполагал, у Вас поработало два шифратора. И если с первым можно было все восстановить, то после второго - увы

Ссылка на комментарий
Поделиться на другие сайты

это шифровальщик на шифровальщик? или часть файлов одним, часть другим? может быть можно расшифровать что-то, зашифрованное только первым? можно ли как-то определить, какие файлы зашифрованны каким из шифровальщиков?

Ссылка на комментарий
Поделиться на другие сайты

PAY_IN_MAXIM_24_HOURS_OR_ALL_YOUR_FILES_WILL_BE_PERMANENTLY_DELETED_PLEASE_BE_REZONABLE_you_have_only_1_single_chance_to_make_the_payment - это расширение приписывает первый шифровальщик,

а это id-F25E5DE4.[Worldcry@cock.li].bip - второй

 

Вполне возможно, что от второго шифратора тоже должны быть сообщения от вымогателей - Info.hta

Ссылка на комментарий
Поделиться на другие сайты

Info.hta найти не смог, нашел только файл FILES ENCRYPTED.txt с содержанием

 

all your data has been locked us
You want to return?
write email Worldcry@cock.li
 
прилагаю лог анализа системы после выполнения скрипта avz, пару файлов(jpeg, doc не нашел), зашифрованных только одним и только другим шифровальщиком. кроме этого, зашифрованный файлы, который выдернул программой восстановления удаленных файлов. имеют нормальное расширение xls, и docx, но точно так же не открываются
 
 

нашел Info.hta:

 

All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail Worldcry@cock.li
Write this ID in the title of your message F25E5DE4
In case of no answer in 24 hours write us to theese e-mails:Worldcry@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. 
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) 
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
Also you can find other places to buy Bitcoins and beginners guide here: 
Attention!
Do not rename encrypted files. 
Do not try to decrypt your data using third party software, it may cause permanent data loss. 
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. 

CollectionLog-2018.06.26-08.20.zip

файлы.zip

Ссылка на комментарий
Поделиться на другие сайты

нашел только файл FILES ENCRYPTED.txt

Да, это тоже файл для связи от второго шифратора.

 

Присланные восстановленные удаленные файлы уже зашифрованы вторым шифратором.

 

Расшифрованные файлы после первого шифратора https://www.sendspace.com/file/jexjjv

Используйте любой из этих файлов, его зашифрованную копию и https://decrypter.emsisoft.com/xoristдля подбора ключа (если не ошибаюсь, найдет где-то после 92%) и расшифровки.

Инструкцию по запуску найдете по ссылке на дешифратор.

Только предварительно файлы, пострадавшие только от первого шифратора, скопируйте в отдельную папку перед расшифровкой.

 

+ Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

 

 


с файлами .[Worldcry@cock.li].bip вообще бесполезно что-то делать, или есть шанс?
Расшифровки всех последних вариантов CrySis нет ни в одном вирлабе. Расшифровка ранних версий появилась только после слива ключей самими злоумышленниками.

 

(ATTENTION: The user is not administrator)

 

Логи Farbar придется переделать под правами администратора

Ссылка на комментарий
Поделиться на другие сайты

2018-02-02 16:04 - 2018-02-02 16:04 - 000056320 ____T () C:\Users\Администратор.CLTRANS\AppData\Local\Temp\terminal.exe

2018-02-02 16:02 - 2018-06-13 08:07 - 000056320 ____T () C:\Users\Лукьянчук.CLTRANS\AppData\Local\Temp\terminal.exe

2018-06-11 16:18 - 2018-06-11 16:31 - 000056320 ____T () C:\Users\Старцев\AppData\Local\Temp\terminal.exe

 

тоже известны?

Ссылка на комментарий
Поделиться на другие сайты

  • 2 weeks later...

Был в отпуске, поэтому не отвечал. terminal.exe это утилита микротика, тоже наше. Осталась последняя надежда - отправить мошенникам самый ценный файл в ответ на "Before paying you can send us up to 1 file for free decryption. ". Вопрос только какой файл отправить, не дважды зашифрованный же. тот который восстанавливали из удаленных, но дописать к нему Worldcry@cock.li? или это вообще особо бесперспективная идея?

Ссылка на комментарий
Поделиться на другие сайты

Если файлов, пострадавших только от второго шифратора, нет, посылайте восстановленный с дописанным расширением.

 

Правда тут все равно есть загвоздка. Учитывая длинное расширение для первого шифратора, есть вероятность того, что файл все же был зашифрован, но остался не переименован.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Profssn
      От Profssn
      Нужна помощь расшифровать. Поймали на другом ПК с другой windows. Windows удален. Файлы переименованы на расшерение decrypting@cock.li
      Новая сжатая ZIP-папка.zip Addition.txt FRST.txt
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • WL787878
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
    • Aleksandr63
      От Aleksandr63
      Здравствуйте! зашифровало всё
      Новая папка.7z FRST.txt
    • Irina4832
      От Irina4832
      Помогите! Все файлы зашифровали, онлай определители типа шифровщика его не находят
      qbpBqR1L6.README.txt
×
×
  • Создать...