Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

шифровальщик [Worldcry@cock.li] на сетевом накопителе

Gut!
 Поделиться

Рекомендуемые сообщения

Gut!

Gut!

Опубликовано
Опубликовано

Доброго времени суток. кто-то в сети подхватил вирус шифровальщик, который попортил файлы на сетевом накопителе. Почти все удалось из бэкапов, кроме одной важной папки. все зашифрованные файлы имеют разрешение  PAY_IN_MAXIM_24_HOURS_OR_ALL_YOUR_FILES_WILL_BE_PERMANENTLY_DELETED_PLEASE_BE_REZONABLE_you_have_only_1_single_chance_to_make_the_payment.id-F25E5DE4.[Worldcry@cock.li]

В каждой папке с зашифрованными файлами лежит файл HOW TO DECRYPT FILES.txt со следующим содержанием:

 

All your important files were BLOCKED on this computer.
 
Encrtyption was produced using unique KEY generated for this computer. 
 
To decrypted files, you need to otbtain private key. 
The single copy of the private key, with will allow you to decrypt the files, is locate on a secret server on the internet;
The server will destroy the key within 24 hours after encryption completed.
REMEMBER YOU HAVE ONLY 24 HOURS TO PAY EVERITHING IS AUTOMATICALLY!
To retrieve the private key, you need to pay 0.7 BTC
 
Bitcoins have to be sent to this address: 3J1MD7EAzdaYeWBDA71t7NShkC64W4a41T
 
After you've sent the payment send us an email to : Email_Decryptor_Payment@scryptmail.com  with subject : ERROR-ID-63100606(0.7BTC)
If you are  not familiar with bitcoin you can buy it from here :
SITE : www.localbitcoin.com
If you try to use third party for help  we will delete all your files
After we confirm the payment , we send the private key so you can decrypt your system.
 
просьба помочь с расшифровкой

CollectionLog-2018.06.25-15.37.zip

thyrex

thyrex

Опубликовано
Опубликовано

Пример зашифрованного doc или docx файла прикрепите в архиве к следующему сообщению

 

c:\users\Лукьянчук.cltrans\documents\visual studio 2010\projects\windowsservice1\windowsservice1\bin\debug\windowsservice1.exe - Ваше?

 

 

Выполните скрипт в AVZ

begin
DeleteService('yewjbkjo');
 DeleteService('scfezisg');
 DeleteService('sekjiquc');
 DeleteService('spkvefpg');
 DeleteService('sxlgkebf');
 DeleteService('tljdlfuo');
 DeleteService('iddooruj');
 DeleteService('aofliykn');
 DeleteService('ayykuvfk');
 DeleteService('azfyjzmt');
 DeleteService('blxklozv');
 DeleteService('ddfsgese');
 DeleteService('dkxtekbl');
 DeleteService('erpfqsbb');
 DeleteFile('C:\Windows\system32\drivers\aofliykn.sys','64');
 DeleteFile('C:\Windows\system32\drivers\ayykuvfk.sys','64');
 DeleteFile('C:\Windows\system32\drivers\azfyjzmt.sys','64');
 DeleteFile('C:\Windows\system32\drivers\blxklozv.sys','64');
 DeleteFile('C:\Windows\system32\drivers\ddfsgese.sys','64');
 DeleteFile('C:\Windows\system32\drivers\dkxtekbl.sys','64');
 DeleteFile('C:\Windows\system32\drivers\erpfqsbb.sys','64');
 DeleteFile('C:\Windows\system32\drivers\iddooruj.sys','64');
 DeleteFile('C:\Windows\system32\drivers\scfezisg.sys','64');
 DeleteFile('C:\Windows\system32\drivers\sekjiquc.sys','64');
 DeleteFile('C:\Windows\system32\drivers\spkvefpg.sys','64');
 DeleteFile('C:\Windows\system32\drivers\sxlgkebf.sys','64');
 DeleteFile('C:\Windows\system32\drivers\tljdlfuo.sys','64');
 DeleteFile('C:\Windows\system32\drivers\yewjbkjo.sys','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.
Gut!

Gut!

Опубликовано
  • Автор
Опубликовано

c:\users\Лукьянчук.cltrans\documents\visual studio 2010\projects\windowsservice1\windowsservice1\bin\debug\windowsservice1.exe - Ваше?

Да, это наши тесты

 

пример файлов во вложении

скрипт смогу выполнить утром, когда буду за рабочим компьютером

Спасибо

кажется не прикрепился архив

еще одна попытка

файлы.zip

thyrex

thyrex

Опубликовано
Опубликовано

Как я и предполагал, у Вас поработало два шифратора. И если с первым можно было все восстановить, то после второго - увы

Gut!

Gut!

Опубликовано
  • Автор
Опубликовано

это шифровальщик на шифровальщик? или часть файлов одним, часть другим? может быть можно расшифровать что-то, зашифрованное только первым? можно ли как-то определить, какие файлы зашифрованны каким из шифровальщиков?

thyrex

thyrex

Опубликовано
Опубликовано

PAY_IN_MAXIM_24_HOURS_OR_ALL_YOUR_FILES_WILL_BE_PERMANENTLY_DELETED_PLEASE_BE_REZONABLE_you_have_only_1_single_chance_to_make_the_payment - это расширение приписывает первый шифровальщик,

а это id-F25E5DE4.[Worldcry@cock.li].bip - второй

 

Вполне возможно, что от второго шифратора тоже должны быть сообщения от вымогателей - Info.hta

Gut!

Gut!

Опубликовано
  • Автор
Опубликовано

Info.hta найти не смог, нашел только файл FILES ENCRYPTED.txt с содержанием

 

all your data has been locked us
You want to return?
write email Worldcry@cock.li
 
прилагаю лог анализа системы после выполнения скрипта avz, пару файлов(jpeg, doc не нашел), зашифрованных только одним и только другим шифровальщиком. кроме этого, зашифрованный файлы, который выдернул программой восстановления удаленных файлов. имеют нормальное расширение xls, и docx, но точно так же не открываются
 
 

нашел Info.hta:

 

All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail Worldcry@cock.li
Write this ID in the title of your message F25E5DE4
In case of no answer in 24 hours write us to theese e-mails:Worldcry@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. 
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) 
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
Also you can find other places to buy Bitcoins and beginners guide here: 
Attention!
Do not rename encrypted files. 
Do not try to decrypt your data using third party software, it may cause permanent data loss. 
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. 

CollectionLog-2018.06.26-08.20.zip

файлы.zip

thyrex

thyrex

Опубликовано
Опубликовано

нашел только файл FILES ENCRYPTED.txt

Да, это тоже файл для связи от второго шифратора.

 

Присланные восстановленные удаленные файлы уже зашифрованы вторым шифратором.

 

Расшифрованные файлы после первого шифратора https://www.sendspace.com/file/jexjjv

Используйте любой из этих файлов, его зашифрованную копию и https://decrypter.emsisoft.com/xoristдля подбора ключа (если не ошибаюсь, найдет где-то после 92%) и расшифровки.

Инструкцию по запуску найдете по ссылке на дешифратор.

Только предварительно файлы, пострадавшие только от первого шифратора, скопируйте в отдельную папку перед расшифровкой.

 

+ Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Gut!

Gut!

Опубликовано
  • Автор
Опубликовано

Отчет во вложении. с файлами .[Worldcry@cock.li].bip вообще бесполезно что-то делать, или есть шанс? с первым шифровальщиком пока идет анализ

FRST.zip

thyrex

thyrex

Опубликовано
Опубликовано

 

 


с файлами .[Worldcry@cock.li].bip вообще бесполезно что-то делать, или есть шанс?
Расшифровки всех последних вариантов CrySis нет ни в одном вирлабе. Расшифровка ранних версий появилась только после слива ключей самими злоумышленниками.

 

(ATTENTION: The user is not administrator)

 

Логи Farbar придется переделать под правами администратора

thyrex

thyrex

Опубликовано
Опубликовано
2018-02-02 16:04 - 2018-02-02 16:04 - 000056320 ____T () C:\Users\Администратор.CLTRANS\AppData\Local\Temp\terminal.exe

2018-02-02 16:02 - 2018-06-13 08:07 - 000056320 ____T () C:\Users\Лукьянчук.CLTRANS\AppData\Local\Temp\terminal.exe

2018-06-11 16:18 - 2018-06-11 16:31 - 000056320 ____T () C:\Users\Старцев\AppData\Local\Temp\terminal.exe

 

тоже известны?

  • 2 недели спустя...
Gut!

Gut!

Опубликовано
  • Автор
Опубликовано

Был в отпуске, поэтому не отвечал. terminal.exe это утилита микротика, тоже наше. Осталась последняя надежда - отправить мошенникам самый ценный файл в ответ на "Before paying you can send us up to 1 file for free decryption. ". Вопрос только какой файл отправить, не дважды зашифрованный же. тот который восстанавливали из удаленных, но дописать к нему Worldcry@cock.li? или это вообще особо бесперспективная идея?

thyrex

thyrex

Опубликовано
Опубликовано

Если файлов, пострадавших только от второго шифратора, нет, посылайте восстановленный с дописанным расширением.

 

Правда тут все равно есть загвоздка. Учитывая длинное расширение для первого шифратора, есть вероятность того, что файл все же был зашифрован, но остался не переименован.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • virus96rus
      зашифрованы файлы
      Автор virus96rus
      # AdwCleaner v5.001 - Logfile created 18/08/2015 at 11:30:38
      # Updated 17/08/2015 by Xplode
      # Database : 2015-08-16.2 [server]
      # Operating system : Windows 7 Home Basic Service Pack 1 (x64)
      # Username : Дарья - ДАРЬЯ-HP
      # Running from : C:\Users\Дарья\Desktop\adwcleaner_5.001.exe
      # Option : Scan
       
      ***** [ Services ] *****
       
      Service Found : PanService
       
      ***** [ Folders ] *****
       
      Folder Found : C:\Program Files (x86)\Mail.Ru
      Folder Found : C:\Program Files (x86)\rightsurf
      Folder Found : C:\Program Files (x86)\PANDORA.TV
       
      ***** [ Files ] *****
       
      File Found : C:\Program Files (x86)\Mozilla Firefox\searchplugins\mailru.xml
       
      ***** [ Shortcuts ] *****
       
       
      ***** [ Scheduled tasks ] *****
       
      Task Found : Digital Sites
       
      ***** [ Registry ] *****
       
      Key Found : HKLM\SOFTWARE\Classes\AmiBs.Installer
      Key Found : HKLM\SOFTWARE\Classes\AmiBs.Installer.1
      Key Found : HKLM\SOFTWARE\Classes\Updater.AmiUpd
      Key Found : HKLM\SOFTWARE\Classes\Updater.AmiUpd.1
      Key Found : HKLM\SOFTWARE\Classes\ITVA
      Key Found : HKCU\Software\Classes\ITVA
      Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\browser.exe
      Key Found : HKLM\SOFTWARE\Google\Chrome\Extensions\cncgohepihcekklokhbhiblhfcmipbdh
      Key Found : HKLM\SOFTWARE\Google\Chrome\Extensions\gehngeifmelphpllncobkmimphfkckne
      Key Found : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
      Key Found : HKLM\SOFTWARE\Classes\CLSID\{4AA46D49-459F-4358-B4D1-169048547C23}
      Key Found : HKLM\SOFTWARE\Classes\CLSID\{67BD9EEB-AA06-4329-A940-D250019300C9}
      Key Found : HKLM\SOFTWARE\Classes\CLSID\{88BE1AA9-6740-461C-9E3E-F35EB8FA741C}
      Key Found : HKLM\SOFTWARE\Classes\CLSID\{A6FEED89-3BCD-4D19-9DC2-3E613A80A2A4}
      Key Found : HKLM\SOFTWARE\Classes\CLSID\{C379EAD1-CB34-4B09-AF6B-7E587F8BCD80}
      Key Found : HKLM\SOFTWARE\Classes\Interface\{9EDC0C90-2B5B-4512-953E-35767BAD5C67}
      Key Found : HKLM\SOFTWARE\Classes\Interface\{D54C859C-6066-4F31-8FE0-2AAEDCAE67D7}
      Key Found : HKLM\SOFTWARE\Classes\TypeLib\{1C1356DA-1E98-4810-A9F6-18D89BD1C0C0}
      Key Found : HKLM\SOFTWARE\Classes\TypeLib\{A0EE0278-2986-4E5A-884E-A3BF0357E476}
      Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{88BE1AA9-6740-461C-9E3E-F35EB8FA741C}
      Key Found : [x64] HKLM\SOFTWARE\Classes\CLSID\{4AA46D49-459F-4358-B4D1-169048547C23}
      Key Found : [x64] HKLM\SOFTWARE\Classes\Interface\{9EDC0C90-2B5B-4512-953E-35767BAD5C67}
      Key Found : [x64] HKLM\SOFTWARE\Classes\Interface\{D54C859C-6066-4F31-8FE0-2AAEDCAE67D7}
      Key Found : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}
      Key Found : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{D43B3890-80C7-4010-A95D-1E77B5924DC3}
      Key Found : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
      Key Found : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}
      Key Found : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{D43B3890-80C7-4010-A95D-1E77B5924DC3}
      Key Found : HKCU\Software\APN DTX
      Key Found : HKCU\Software\APN PIP
      Key Found : HKCU\Software\Conduit
      Key Found : HKCU\Software\dsiteproducts
      Key Found : HKCU\Software\IM
      Key Found : HKCU\Software\InstallCore
      Key Found : HKCU\Software\RightSurf
      Key Found : HKCU\Software\Softonic
      Key Found : HKCU\Software\systweak
      Key Found : HKCU\Software\zona
      Key Found : HKCU\Software\AppDataLow\Software\Conduit
      Key Found : HKLM\SOFTWARE\PIP
      Key Found : HKLM\SOFTWARE\RightSurf
      Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Codec Pack Packages
      Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Digital Sites
      Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{99C91FC5-DB5B-4AA0-BB70-5D89C5A4DF96}
      Key Found : [x64] HKCU\Software\APN DTX
      Key Found : [x64] HKCU\Software\APN PIP
      Key Found : [x64] HKCU\Software\Conduit
      Key Found : [x64] HKCU\Software\dsiteproducts
      Key Found : [x64] HKCU\Software\IM
      Key Found : [x64] HKCU\Software\InstallCore
      Key Found : [x64] HKCU\Software\RightSurf
      Key Found : [x64] HKCU\Software\Softonic
      Key Found : [x64] HKCU\Software\systweak
      Key Found : [x64] HKCU\Software\zona
      Key Found : [x64] HKLM\SOFTWARE\DivX\Install\Setup\WizardLayout\ConduitToolbar
      Key Found : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RightSurf
      Key Found : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}
      Key Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}
      Key Found : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}
      Key Found : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}
       
      ***** [ Web browsers ] *****
       
       
      *************************
       
      C:\AdwCleaner[s1].txt - [4819 bytes] - [18/08/2015 11:30:40]
       
      ########## EOF - C:\AdwCleaner[s1].txt - [4881 bytes] ##########
    • g_valentin
      как восстановить файлы и несколько zip архивов с важной информацией?
      Автор g_valentin
      Добрый день! 
      Возникла такая проблема, каким то образом злоумышленник проник на сервер. И создал архивы всех папок находящихся в корне диска. И оставили файл с именем "ЧТО_НУЖНО_СДЕЛАТЬ.txt" 
      в файле текст: 
        Цитата: 
      Внимание! 
      Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом. Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самых криптостойких алгоритмов. Восстановить файлы можно только зная уникальный для Вашего пк пароль. Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода. Ни в коем случае не изменяйте файлы! А если решились, то сделайте резервные копии. Напишите нам письмо на адрес tormail624573@gmail.com (Вам ответят в течение 24 часов), чтобы узнать как получить пароль для возможности восстановления данных. Папка C:\Program Files\Internet Explorer не зашифрована, там вы сможете запустить браузер. Среднее время ответа специалиста 12-24 часа. К письму обязательно прикрепите уникальный для Вашего компьютера код (расположен внизу этого текстового файла). Письма с угрозами будут игнорироваться! НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы! 



      ============================================================­======== 
      УНИКАЛЬНЫЙ КОД sdf7sdyf7ygLnQ2sdfh3kVs7q003PQEZvoSwd 
      ============================================================­======== Для примера прикрепляю созданный злоумышленником архив.
      Inetpub.rar
    • Наран
      При клике на нужную мне ссылку осуществляет какое то перенаправление
      Автор Наран
      Добрый день! Помогите пожалуйста мне в аналогичной ситуации, при клике на нужную мне ссылку осуществляет какое то перенаправление и открывается страница со всякими рекламами.Спасу нет от этой беды. антивирус Касперский(лицензия) но якобы комп чист.Заранее Вам Благодарен
    • Кристиан Бангеев
      У меня такая же проблема с шифрованием
      Автор Кристиан Бангеев
      У меня такая же проблема. Лог выкладываю.
       

       
      Сообщение от модератора Mark D. Pearlstone Логи нужно выкладывать в теме, а не файловом архиве.
    • ogice
      Зашифровались данные
      Автор ogice
      Переименовались все файлы мп3, док, жпег и т.д.
       
      Логи делал с пользователя с правами администратора. Файлы переименованные у одного из пользователей. Но доступ к папке пользователя есть под админом, не должно ни как повлиять по-идее
       
      Спасибо
       
       
      CollectionLog-2015.07.16-14.00.zip
×
×
  • Создать...