Перейти к содержанию

Шифровальщик от INKASATOR1@TUTMAIL.COM

Егвений
 Поделиться

Рекомендуемые сообщения

Егвений

Егвений

Опубликовано
Опубликовано (изменено)

Добрый день, утром заблокировались все базы данных 1с, хотя были активные сессии. 

 

Образец файла прикладываю. операционная система windows server 2016 standart.

 

 

1Cv8tmp.1CD!@#$_____INKASATOR1@TUTAMAIL.COM_____$#@!.RAR

Изменено пользователем Егвений
regist

regist

Опубликовано
Опубликовано

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 SetServiceStart('vwifibus', 4);
 StopService('vwifibus');
 QuarantineFile('C:\Users\2CAF~1.WIN\AppData\Local\Temp\3\{7BB02CD6-8E06-43BE-AC01-8ABCC574E20D}\{27EAB123-0686-4D95-B81C-A93C8FCF17F5}.tmp', '');
 QuarantineFile('C:\Users\2CAF~1.WIN\AppData\Local\Temp\3\{7BB02CD6-8E06-43BE-AC01-8ABCC574E20D}\{42034200-20B8-4BAC-81C7-3410794FE631}.tmp', '');
 QuarantineFile('C:\Users\Администратор.WIN-SJM0VDTGT7P\AppData\Local\TileDataLayer\CjcdmrwN.exe', '');
 QuarantineFile('C:\Users\Администратор.WIN-SJM0VDTGT7P\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ViHMJezE.lnk', '');
 QuarantineFile('C:\Windows\System32\drivers\vwifibus.sys', '');
 QuarantineFileF('C:\Users\Администратор.WIN-SJM0VDTGT7P\AppData\Local\TileDataLayer\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\2CAF~1.WIN\AppData\Local\Temp\3\{7BB02CD6-8E06-43BE-AC01-8ABCC574E20D}\{27EAB123-0686-4D95-B81C-A93C8FCF17F5}.tmp', '');
 DeleteFile('C:\Users\2CAF~1.WIN\AppData\Local\Temp\3\{7BB02CD6-8E06-43BE-AC01-8ABCC574E20D}\{42034200-20B8-4BAC-81C7-3410794FE631}.tmp', '');
 DeleteFile('C:\Users\Администратор.WIN-SJM0VDTGT7P\AppData\Local\TileDataLayer\CjcdmrwN.exe');
 DeleteFile('C:\Users\Администратор.WIN-SJM0VDTGT7P\AppData\Local\TileDataLayer\CjcdmrwN.exe', '64');
 DeleteFile('C:\Users\Администратор.WIN-SJM0VDTGT7P\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ViHMJezE.lnk');
 DeleteFile('C:\Windows\System32\drivers\vwifibus.sys', '64');
 DeleteService('vwifibus');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ViHMJezE');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
Егвений

Егвений

Опубликовано
  • Автор
Опубликовано

Добрый день, Helper. 

 

Результат повторного запуска Autologger во вложении. 

Всё сделано по Вашим рекомендациям, номер [KLAN-8401072745]

 

Спасибо заранее.

  

 

 

 

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 SetServiceStart('vwifibus', 4);
 StopService('vwifibus');
 QuarantineFile('C:\Users\2CAF~1.WIN\AppData\Local\Temp\3\{7BB02CD6-8E06-43BE-AC01-8ABCC574E20D}\{27EAB123-0686-4D95-B81C-A93C8FCF17F5}.tmp', '');
 QuarantineFile('C:\Users\2CAF~1.WIN\AppData\Local\Temp\3\{7BB02CD6-8E06-43BE-AC01-8ABCC574E20D}\{42034200-20B8-4BAC-81C7-3410794FE631}.tmp', '');
 QuarantineFile('C:\Users\Администратор.WIN-SJM0VDTGT7P\AppData\Local\TileDataLayer\CjcdmrwN.exe', '');
 QuarantineFile('C:\Users\Администратор.WIN-SJM0VDTGT7P\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ViHMJezE.lnk', '');
 QuarantineFile('C:\Windows\System32\drivers\vwifibus.sys', '');
 QuarantineFileF('C:\Users\Администратор.WIN-SJM0VDTGT7P\AppData\Local\TileDataLayer\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\2CAF~1.WIN\AppData\Local\Temp\3\{7BB02CD6-8E06-43BE-AC01-8ABCC574E20D}\{27EAB123-0686-4D95-B81C-A93C8FCF17F5}.tmp', '');
 DeleteFile('C:\Users\2CAF~1.WIN\AppData\Local\Temp\3\{7BB02CD6-8E06-43BE-AC01-8ABCC574E20D}\{42034200-20B8-4BAC-81C7-3410794FE631}.tmp', '');
 DeleteFile('C:\Users\Администратор.WIN-SJM0VDTGT7P\AppData\Local\TileDataLayer\CjcdmrwN.exe');
 DeleteFile('C:\Users\Администратор.WIN-SJM0VDTGT7P\AppData\Local\TileDataLayer\CjcdmrwN.exe', '64');
 DeleteFile('C:\Users\Администратор.WIN-SJM0VDTGT7P\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ViHMJezE.lnk');
 DeleteFile('C:\Windows\System32\drivers\vwifibus.sys', '64');
 DeleteService('vwifibus');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ViHMJezE');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.
После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

 

CollectionLog-2018.07.15-10.54.zip

regist

regist

Опубликовано
Опубликовано

Оверквотингом заниматься не надо. Если что, то для быстрого ответа есть поле внизу.

 

 

Полученный ответ сообщите здесь (с указанием номера KLAN)
вы только номер KLAN указали, а ответ забыли.
Егвений

Егвений

Опубликовано
  • Автор
Опубликовано

Понял.

 

Ответ из техподдержки:

"Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы и ссылки были проверены в автоматическом режиме

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

В антивирусных базах информация по присланным вами ссылкам отсутствует:
https://forum.kasperskyclub.ru/index.php?showtopic=59904

Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте."

regist

regist

Опубликовано
Опубликовано

Сообщение с требованиями вымогателей прикрепите.

 

+

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Егвений

Егвений

Опубликовано
  • Автор
Опубликовано (изменено)

Файла с требованиями или нет или он зашифрован, просканировал компьютер на "readme" ссылки не открываются формат "html" или зашифрованы. (системные txt и т.д.)

 

Вложил необходимые файлы по запросу.

 

Спасибо  

FRST.txt

Addition.txt

Изменено пользователем Егвений
regist

regist

Опубликовано
Опубликовано

Модификация RotorCrypt,

 

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку. Но шансов, что помогут с рассшифровкой мало.
 

+Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Егвений

Егвений

Опубликовано
  • Автор
Опубликовано

Пришел ответ с требованиями от шифровальщиков. 

 

 

"Добрый день, мы обеспечили безопасность ваших файлов. 
Щас идет массовая экспансия фирм\компаний\предприятий\организаций
 
воры подменивают банковские реквизиты, крадут информацию о онлайн банкинге, воруют деньги, продают файлы конкурентам и на биржах информации и еще очень много гадостей которые они делают,
все зависит от тематики вашего бизнеса и нахождения файлов на вашем сервере
 
Мы ваши файлы в своих корысных целях не используем. Наш поинт доносить до компаний всю серьезность сложившейся пагубной обстановки.
 
 
Хакеры добро или зло? ядерное оружие добро или зло?
если оно служит для обеспечения безопасности государства а не для запугивания то это не зло.
а хакеры которые делают беззаконие и ищут лишь своей корысти тем самым банкротят бизнес мы - порицаем.
так что все в нашем мире сугубо относительно. мы спасам бизнес людей
 
Поручите вашему новому системному администратору
 
Сменить все пароли, ставить сложные пароли
Сменить порт сервера на более сложный
Настроить подключение к серверу лишь через VPN т.е через 1 IP
 
относитесь к безопасности серьезно, и не принебрегайте ею
 
естественно мы берем небольшие деньги но эти деньги не могут сравниться с тем сколько бы у вас могли украсть воры, мы просим сущие копейки за вразумление, не более)
Цены за востановление варьируются от 2500 евро. более точно сможем съориентировать после того как пришлете маску ип либо полностью IP сервера.
Доложите информацию руководству для принятия решения.
по вопросам безопасности консультируем бесплатно!
 
 
От себя гарантируем добросоестность, прозрачность сделки и выполнение всех своих обязательств в полной мере.
 

-- 
Securely sent with Tutanota. Claim your encrypted mailbox today! 
https://tutanota.com

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • kalmenergo_er
      вирус шифровальщик gexogen
      Автор kalmenergo_er
      Добрый день. были зашифрованы файлы. стали такого вида:
      0803-24 после.xls!________GEKTORg@PROTONMAIL.COM________.GEXOGEN 
      Можно ли расшифровать?
      не могу прикрепить файл или переименовать его.
    • hukola
      Зашифрованы файлы (OTVBAWNbIUKAPITAN)
      Автор hukola
      del
    • serj1989
      Шифровальщик
      Автор serj1989
      схватили вирус шифровальщик, зашифровал все с расширением !_____OTVBAWNbIUKAPITAN@PROTONMAIL.COM______.бронь
      в архиве его исходная программа(пароль архива 12345678)
      во втором архиве пример зашифрованного файл excel
       
      Есть какая то инфа по нему? дешифратор?кто сталкивался?
      Дежурство выходные.xlsx!_____OTVBAWNbIUKAPITAN@PROTONMAIL.COM______.7z
    • SergeySk
      Новый шифровальшик GEXOGEN
      Автор SergeySk
      Доброго времени суток. На работе схватили шифровальшика из письма. Сам вирус удален, но файлы зашифрованы. Никаких подробностей в интернете найти не получается. Зашифрован с удаленного компьютера пользователя.
       
       
      Зашифрованный файл в архиве. 
       
       
      ТН 51.xlsx!________GEKTORg@PROTONMAIL.COM________.rar
      farbar.rar
    • Sergey Shuptarskiy
      Шифровальщик !_____GEKSOGEN911@GMAIL.COM____.c300
      Автор Sergey Shuptarskiy
      Добрый день!
       
      Помогите определить и расшифровать. все файлы имеют расширение !_____GEKSOGEN911@GMAIL.COM____.c300 
       
      Новая папка.rar
×
×
  • Создать...