Зашифрованы все файлы в расшаренных папках

[mvagin]

Через открытый RDP, подобрав пароль попали на терминальный сервер.

Запустили программу шифровальщик. Зашифрованы все файлы в расшаренных папках на одном из серверов.

Имена файлов изменены преобразованием в HEX следующим образом - Запрос.txt --> D097D0B0D0BFD180D0BED1812E747874

По папкам раскиданы файлы с информацией о способе восстановления:

Your files are encrypted!
                                        YOUR PERSONAL ID
                                        0VzS4M4D27Pro88uDIAGOlLlJCXxp0Pc04wRkKWg
                                        ---------------------------------------------------------------------------------
                                        Discovered a serious vulnerability in your network security.
No data was stolen and no one will be able to do it while they are encrypted.
For you we have automatic decryptor and instructions for remediation.
                                        ---------------------------------------------------------------------------------
                                        You will receive automatic decryptor and all files will be restored
---------------------------------------------------------------------------------
* To be sure in getting the decryption, you can send one file(less than 10MB) to avira@keemail.me or starbax@tutanota.de In the letter include your personal ID(look at the beginning of this document). But this action will increase the cost of the automatic decryptor on 50 USD...
Attention!
Attempts to self-decrypting files will result in the loss of your data
Decoders other users are not compatible with your data, because each user's unique encryption key
---------------------------------------------------------------------------------

Посланный файл вернули расшифрованным. С предложением:

To get a decrypt you need send 1000 USD for this Bitcoin address 1FqxHMN54b8mU2tnBiNfdBCWRZ6HvLV7zx.
After payment we will send you the decryption tool that will decrypt all your files.
Before paying you can send to us up to 3 files for free decryption. Please note that files must NOT contain valuable information and their total size must be less than 10Mb.

​Послал ещё три файла и поторговался. Вернули расшифрованными с сообщением:

Well, we are ready to reduce the amount. Send 700 $ to this nitcoin address  1Hedsu5d7HQgZU39GTyTu9TsZni6CELWS8

​Во вложении файл логов, файл "требований", в архиве две пары файлов (зашифрованный и оригинальный)

 

Прошу помочь с расшифровкой.

CollectionLog-2018.06.26-12.03.zip

README.txt

files.zip

[thyrex]

Это последняя версия CryptConsole 2, расшифровать которую могут только сами злоумышленники.

Файла 0VzS4M4D27Pro88uDIAGOlLlJCXxp0Pc04wRkKWg.txt на Рабочем столе нет? Если нет, попробуйте с помощью программ типа Recuva поискать среди удаленных.

Скачайте Farbar Recovery Scan Tool и сохраните на любой диск, кроме системного.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[mvagin]

Указанного​ файла в удаленных не найдено. Запустил полный скан. Если что-то найдётся, напишу.

Во вложении результат работы программы FRST

FRST.zip

[thyrex]

Логи собирали на пострадавшей машине? На других компьютерах информация не пострадала?

[mvagin]

Логи собирал на одном из пострадавших серверов.

На нескольких серверах есть расшаренные папки. Зашифифровалось то, что успело по времени видимо. Во всех случаях симптомы идентичны (и PERSONAL ID одинаков). На других серверах всё что смог, восстановил из копий сохранённых, программы переустановил (есть пару в расшаренных папках для общего пользования).

[thyrex]

Тогда надо искать компьютер, ставший источником. И на нем искать. Скорее всего это будет первый по времени появления файлов README.txt от вымогателей.

Возможно еще имя файла 0VzS4M4D27Pro88uDIAGOlLlJCXxp0Pc04wRkKWg-lan.txt

[mvagin]

Логи с сервера источника.

Указанного ранее файла в удалённых не найдено.

CollectionLog-2018.06.27-09.43.zip

Изменено 27 июня, 2018 пользователем mvagin

[thyrex]

Логи Farbar тоже на этом сервере сделайте

[mvagin]

Логи во вложении

FRST.zip

[thyrex]

И тут ничего полезного.

 

Скорее всего авторы после проникновения и запуска шифратора, забирают себе файл с ключами с Рабочего стола, а сам файл удаляют. А по мере шифрования сектора диска, относящиеся к этому файлу, просто затираются другим содержимым.