Шифровальщик от INKASATOR1@TUTMAIL.COM

[Егвений 0]

Добрый день, утром заблокировались все базы данных 1с, хотя были активные сессии. 

 

Образец файла прикладываю. операционная система windows server 2016 standart.

 

 

1Cv8tmp.1CD!@#$_____INKASATOR1@TUTAMAIL.COM_____$#@!.RAR

Изменено 14 июля, 2018 пользователем Егвений

[Mark D. Pearlstone 1 529]

Порядок оформления запроса о помощи

После выбора файла для загрузки нужно нажать "Загрузить".

[Егвений 0]

Извиняюсь, торопился. 

 

Прилагаю  корректные файлы.  

Порядок оформления запроса о помощи

После выбора файла для загрузки нужно нажать "Загрузить".

 

CollectionLog-2018.07.14-16.36.zip

[regist 618]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 SetServiceStart('vwifibus', 4);
 StopService('vwifibus');
 QuarantineFile('C:\Users\2CAF~1.WIN\AppData\Local\Temp\3\{7BB02CD6-8E06-43BE-AC01-8ABCC574E20D}\{27EAB123-0686-4D95-B81C-A93C8FCF17F5}.tmp', '');
 QuarantineFile('C:\Users\2CAF~1.WIN\AppData\Local\Temp\3\{7BB02CD6-8E06-43BE-AC01-8ABCC574E20D}\{42034200-20B8-4BAC-81C7-3410794FE631}.tmp', '');
 QuarantineFile('C:\Users\Администратор.WIN-SJM0VDTGT7P\AppData\Local\TileDataLayer\CjcdmrwN.exe', '');
 QuarantineFile('C:\Users\Администратор.WIN-SJM0VDTGT7P\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ViHMJezE.lnk', '');
 QuarantineFile('C:\Windows\System32\drivers\vwifibus.sys', '');
 QuarantineFileF('C:\Users\Администратор.WIN-SJM0VDTGT7P\AppData\Local\TileDataLayer\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\2CAF~1.WIN\AppData\Local\Temp\3\{7BB02CD6-8E06-43BE-AC01-8ABCC574E20D}\{27EAB123-0686-4D95-B81C-A93C8FCF17F5}.tmp', '');
 DeleteFile('C:\Users\2CAF~1.WIN\AppData\Local\Temp\3\{7BB02CD6-8E06-43BE-AC01-8ABCC574E20D}\{42034200-20B8-4BAC-81C7-3410794FE631}.tmp', '');
 DeleteFile('C:\Users\Администратор.WIN-SJM0VDTGT7P\AppData\Local\TileDataLayer\CjcdmrwN.exe');
 DeleteFile('C:\Users\Администратор.WIN-SJM0VDTGT7P\AppData\Local\TileDataLayer\CjcdmrwN.exe', '64');
 DeleteFile('C:\Users\Администратор.WIN-SJM0VDTGT7P\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ViHMJezE.lnk');
 DeleteFile('C:\Windows\System32\drivers\vwifibus.sys', '64');
 DeleteService('vwifibus');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ViHMJezE');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Егвений 0]

Добрый день, Helper. 

 

Результат повторного запуска Autologger во вложении. 

Всё сделано по Вашим рекомендациям, номер [KLAN-8401072745]

 

Спасибо заранее.

  

 

 

 

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 SetServiceStart('vwifibus', 4);
 StopService('vwifibus');
 QuarantineFile('C:\Users\2CAF~1.WIN\AppData\Local\Temp\3\{7BB02CD6-8E06-43BE-AC01-8ABCC574E20D}\{27EAB123-0686-4D95-B81C-A93C8FCF17F5}.tmp', '');
 QuarantineFile('C:\Users\2CAF~1.WIN\AppData\Local\Temp\3\{7BB02CD6-8E06-43BE-AC01-8ABCC574E20D}\{42034200-20B8-4BAC-81C7-3410794FE631}.tmp', '');
 QuarantineFile('C:\Users\Администратор.WIN-SJM0VDTGT7P\AppData\Local\TileDataLayer\CjcdmrwN.exe', '');
 QuarantineFile('C:\Users\Администратор.WIN-SJM0VDTGT7P\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ViHMJezE.lnk', '');
 QuarantineFile('C:\Windows\System32\drivers\vwifibus.sys', '');
 QuarantineFileF('C:\Users\Администратор.WIN-SJM0VDTGT7P\AppData\Local\TileDataLayer\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\2CAF~1.WIN\AppData\Local\Temp\3\{7BB02CD6-8E06-43BE-AC01-8ABCC574E20D}\{27EAB123-0686-4D95-B81C-A93C8FCF17F5}.tmp', '');
 DeleteFile('C:\Users\2CAF~1.WIN\AppData\Local\Temp\3\{7BB02CD6-8E06-43BE-AC01-8ABCC574E20D}\{42034200-20B8-4BAC-81C7-3410794FE631}.tmp', '');
 DeleteFile('C:\Users\Администратор.WIN-SJM0VDTGT7P\AppData\Local\TileDataLayer\CjcdmrwN.exe');
 DeleteFile('C:\Users\Администратор.WIN-SJM0VDTGT7P\AppData\Local\TileDataLayer\CjcdmrwN.exe', '64');
 DeleteFile('C:\Users\Администратор.WIN-SJM0VDTGT7P\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ViHMJezE.lnk');
 DeleteFile('C:\Windows\System32\drivers\vwifibus.sys', '64');
 DeleteService('vwifibus');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ViHMJezE');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

 

CollectionLog-2018.07.15-10.54.zip

[regist 618]

Оверквотингом заниматься не надо. Если что, то для быстрого ответа есть поле внизу.

 

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

вы только номер KLAN указали, а ответ забыли.

[Егвений 0]

Понял.

 

Ответ из техподдержки:

"Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы и ссылки были проверены в автоматическом режиме

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

В антивирусных базах информация по присланным вами ссылкам отсутствует:
https://forum.kasperskyclub.ru/index.php?showtopic=59904

Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте."

[regist 618]

Сообщение с требованиями вымогателей прикрепите.

 

+

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[Егвений 0]

Файла с требованиями или нет или он зашифрован, просканировал компьютер на "readme" ссылки не открываются формат "html" или зашифрованы. (системные txt и т.д.)

 

Вложил необходимые файлы по запросу.

 

Спасибо  

FRST.txt

Addition.txt

Изменено 15 июля, 2018 пользователем Егвений

[regist 618]

Модификация RotorCrypt,

 

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку. Но шансов, что помогут с рассшифровкой мало.
 

+Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[Егвений 0]

Пришел ответ с требованиями от шифровальщиков. 

 

 

"Добрый день, мы обеспечили безопасность ваших файлов. 

Щас идет массовая экспансия фирм\компаний\предприятий\организаций

 

воры подменивают банковские реквизиты, крадут информацию о онлайн банкинге, воруют деньги, продают файлы конкурентам и на биржах информации и еще очень много гадостей которые они делают,

все зависит от тематики вашего бизнеса и нахождения файлов на вашем сервере

 

Мы ваши файлы в своих корысных целях не используем. Наш поинт доносить до компаний всю серьезность сложившейся пагубной обстановки.

 

 

Хакеры добро или зло? ядерное оружие добро или зло?

если оно служит для обеспечения безопасности государства а не для запугивания то это не зло.

а хакеры которые делают беззаконие и ищут лишь своей корысти тем самым банкротят бизнес мы - порицаем.

так что все в нашем мире сугубо относительно. мы спасам бизнес людей

 

Поручите вашему новому системному администратору

 

Сменить все пароли, ставить сложные пароли

Сменить порт сервера на более сложный

Настроить подключение к серверу лишь через VPN т.е через 1 IP

 

относитесь к безопасности серьезно, и не принебрегайте ею

 

естественно мы берем небольшие деньги но эти деньги не могут сравниться с тем сколько бы у вас могли украсть воры, мы просим сущие копейки за вразумление, не более)

Цены за востановление варьируются от 2500 евро. более точно сможем съориентировать после того как пришлете маску ип либо полностью IP сервера.

Доложите информацию руководству для принятия решения.

по вопросам безопасности консультируем бесплатно!

 

 

От себя гарантируем добросоестность, прозрачность сделки и выполнение всех своих обязательств в полной мере.

 

-- 
Securely sent with Tutanota. Claim your encrypted mailbox today! 
https://tutanota.com