Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Через открытый RDP, подобрав пароль попали на терминальный сервер.

Запустили программу шифровальщик. Зашифрованы все файлы в расшаренных папках на одном из серверов.

Имена файлов изменены преобразованием в HEX следующим образом - Запрос.txt --> D097D0B0D0BFD180D0BED1812E747874

По папкам раскиданы файлы с информацией о способе восстановления:

Your files are encrypted!
                                        YOUR PERSONAL ID
                                        0VzS4M4D27Pro88uDIAGOlLlJCXxp0Pc04wRkKWg
                                        ---------------------------------------------------------------------------------
                                        Discovered a serious vulnerability in your network security.
No data was stolen and no one will be able to do it while they are encrypted.
For you we have automatic decryptor and instructions for remediation.
                                        ---------------------------------------------------------------------------------
                                        You will receive automatic decryptor and all files will be restored
---------------------------------------------------------------------------------
* To be sure in getting the decryption, you can send one file(less than 10MB) to avira@keemail.me or starbax@tutanota.de In the letter include your personal ID(look at the beginning of this document). But this action will increase the cost of the automatic decryptor on 50 USD...
Attention!
Attempts to self-decrypting files will result in the loss of your data
Decoders other users are not compatible with your data, because each user's unique encryption key
---------------------------------------------------------------------------------

Посланный файл вернули расшифрованным. С предложением:

To get a decrypt you need send 1000 USD for this Bitcoin address 1FqxHMN54b8mU2tnBiNfdBCWRZ6HvLV7zx.
After payment we will send you the decryption tool that will decrypt all your files.
Before paying you can send to us up to 3 files for free decryption. Please note that files must NOT contain valuable information and their total size must be less than 10Mb.

​Послал ещё три файла и поторговался. Вернули расшифрованными с сообщением:

Well, we are ready to reduce the amount. Send 700 $ to this nitcoin address  1Hedsu5d7HQgZU39GTyTu9TsZni6CELWS8

Во вложении файл логов, файл "требований", в архиве две пары файлов (зашифрованный и оригинальный)

 

Прошу помочь с расшифровкой.

CollectionLog-2018.06.26-12.03.zip

README.txt

files.zip

Опубликовано

Это последняя версия CryptConsole 2, расшифровать которую могут только сами злоумышленники.

Файла 0VzS4M4D27Pro88uDIAGOlLlJCXxp0Pc04wRkKWg.txt на Рабочем столе нет? Если нет, попробуйте с помощью программ типа Recuva поискать среди удаленных.

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на любой диск, кроме системного.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Опубликовано

Указанного​ файла в удаленных не найдено. Запустил полный скан. Если что-то найдётся, напишу.

Во вложении результат работы программы FRST

FRST.zip

Опубликовано

Логи собирали на пострадавшей машине? На других компьютерах информация не пострадала?

Опубликовано

Логи собирал на одном из пострадавших серверов.

На нескольких серверах есть расшаренные папки. Зашифифровалось то, что успело по времени видимо. Во всех случаях симптомы идентичны (и PERSONAL ID одинаков). На других серверах всё что смог, восстановил из копий сохранённых, программы переустановил (есть пару в расшаренных папках для общего пользования).

Опубликовано

Тогда надо искать компьютер, ставший источником. И на нем искать. Скорее всего это будет первый по времени появления файлов README.txt от вымогателей.

Возможно еще имя файла 0VzS4M4D27Pro88uDIAGOlLlJCXxp0Pc04wRkKWg-lan.txt

Опубликовано (изменено)

Логи с сервера источника.

Указанного ранее файла в удалённых не найдено.

CollectionLog-2018.06.27-09.43.zip

Изменено пользователем mvagin
Опубликовано

Логи Farbar тоже на этом сервере сделайте

Опубликовано

И тут ничего полезного.

 

Скорее всего авторы после проникновения и запуска шифратора, забирают себе файл с ключами с Рабочего стола, а сам файл удаляют. А по мере шифрования сектора диска, относящиеся к этому файлу, просто затираются другим содержимым.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ilk006
      Автор ilk006
      Добрый день!
      Шифровальщик с обратной почтой зашифровал почти все на компьютере и сетевом хранилище.
       
      README.txt следующего содержания:
       
      Содержание README.txt:
        Логи приложить не могу т.к. компьютер-источник не загружается и восстанавливать я его не собираюсь. Или нужно как-то попытаться запустить компьютер для сборки логов и проверки с помощью FRST?   Способ заражения пока неизвестен, предположительно с рабочей флешки жены.   Стоит ли надеяться и искать способы расшифровки или безнадежно?    
    • rrustam
      Автор rrustam
      Добрый день, утром вышли на работу и увидели в общей папке на сервере преобразованные файлы
       
      в следующем формате "D0A0D0B5D0B5D181D182D18020D0BDD0B5D0B2D0B5D180D0BDD0BE20D0BED184D0BED180D0BCD0BBD0B5D0BDD0BDD18BD18520D0B820D0BED182D181D183D182D181D0B2D183D18ED189D0B8D18520D09FD0945FD09ED091D0A0D090D097D095D0A62E786C7378" это название файла и без расширения.
      Вот текст письма вымогателей
       "Your files are encrypted!
      YOUR PERSONAL ID  4OkaB2XymdtH5Yf0156q9Ii0YWLze9OWSXcH4MwY --------------------------------------------------------------------------------- Discovered a serious vulnerability in your network security. No data was stolen and no one will be able to do it while they are encrypted. For you we have automatic decryptor and instructions for remediation. For instructions, write to us on one of our mails  MotokoKusanagi@tutamail.com  or  ShotaroKaneda@tutanota.de --------------------------------------------------------------------------------- You will receive automatic decryptor and all files will be restored --------------------------------------------------------------------------------- * To be sure in getting the decryption, you can send one file(less than 10MB) to MotokoKusanagi@tutamail.com  or ShotaroKaneda@tutanota.de In the letter include your personal ID(look at the beginning of this document). Attention! Attempts to self-decrypting files will result in the loss of your data Decoders other users are not compatible with your data, because each user's unique encryption key"   Масштаб бедствия огромный, жду ответа  CollectionLog-2018.12.14-10.00.zip
    • suba-ru
      Автор suba-ru
      Добрый день. Знакомые позвонили- зашифрованы бызы 1с и содержимое архивов на Win2008R2.
      Пока доступа к компу нету- надо ехать/ Сориентируйте есть смысл пытаться расшифровать или нет?
      В папках файлик такой. Файлы без расширений цифробуквеный набр.. Файлы Exel  со слов  не зашифрованы
        Заранее спасибо за ответ

      Что-то файл не прицепился
      Your files are encrypted! YOUR PERSONAL ID rdOGG72awGSkwHZLkfAmSaoZXrluIddzjdyCws7f --------------------------------------------------------------------------------- Discovered a serious vulnerability in your network security. No data was stolen and no one will be able to do it while they are encrypted. For you we have automatic decryptor and instructions for remediation. --------------------------------------------------------------------------------- You will receive automatic decryptor and all files will be restored --------------------------------------------------------------------------------- * To be sure in getting the decryption, you can send one file(less than 10MB) to kares@keemail.me or kares@tuta.io In the letter include your personal ID(look at the beginning of this document). Attention! Attempts to self-decrypting files will result in the loss of your data Decoders other users are not compatible with your data, because each user's unique encryption key ---------------------------------------------------------------------------------
    • Den4eG01
      Автор Den4eG01
      Добрый день! Пришли с утра на работу,подключились к серверу RDP и там все файлы зашифрованы и имеют имена состоящие из букв и цифр не умеющие расширения! запросили 1000 USD в биткоинах! 
      cureit.log
      CollectionLog-2018.12.11-15.24.zip
    • receiver
      Автор receiver
      Проблема один в один.

      https://forum.kasperskyclub.ru/index.php?showtopic=60803&page=0


      Сообщение от модератора SQ Пожалуйста не пишите в чужих темах. Каждый случай уникален.
×
×
  • Создать...