rotorcrypt Шифровальщик от INKASATOR1@TUTMAIL.COM

14 июля, 2018

Добрый день, утром заблокировались все базы данных 1с, хотя были активные сессии.

Образец файла прикладываю. операционная система windows server 2016 standart.

1Cv8tmp.1CD!@#$_____INKASATOR1@TUTAMAIL.COM_____$#@!.RAR

Изменено 14 июля, 2018 пользователем Егвений

14 июля, 2018

Порядок оформления запроса о помощи

После выбора файла для загрузки нужно нажать "Загрузить".

14 июля, 2018

Извиняюсь, торопился.

Прилагаю корректные файлы.

Порядок оформления запроса о помощи

После выбора файла для загрузки нужно нажать "Загрузить".

CollectionLog-2018.07.14-16.36.zip

14 июля, 2018

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 SetServiceStart('vwifibus', 4);
 StopService('vwifibus');
 QuarantineFile('C:\Users\2CAF~1.WIN\AppData\Local\Temp\3\{7BB02CD6-8E06-43BE-AC01-8ABCC574E20D}\{27EAB123-0686-4D95-B81C-A93C8FCF17F5}.tmp', '');
 QuarantineFile('C:\Users\2CAF~1.WIN\AppData\Local\Temp\3\{7BB02CD6-8E06-43BE-AC01-8ABCC574E20D}\{42034200-20B8-4BAC-81C7-3410794FE631}.tmp', '');
 QuarantineFile('C:\Users\Администратор.WIN-SJM0VDTGT7P\AppData\Local\TileDataLayer\CjcdmrwN.exe', '');
 QuarantineFile('C:\Users\Администратор.WIN-SJM0VDTGT7P\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ViHMJezE.lnk', '');
 QuarantineFile('C:\Windows\System32\drivers\vwifibus.sys', '');
 QuarantineFileF('C:\Users\Администратор.WIN-SJM0VDTGT7P\AppData\Local\TileDataLayer\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\2CAF~1.WIN\AppData\Local\Temp\3\{7BB02CD6-8E06-43BE-AC01-8ABCC574E20D}\{27EAB123-0686-4D95-B81C-A93C8FCF17F5}.tmp', '');
 DeleteFile('C:\Users\2CAF~1.WIN\AppData\Local\Temp\3\{7BB02CD6-8E06-43BE-AC01-8ABCC574E20D}\{42034200-20B8-4BAC-81C7-3410794FE631}.tmp', '');
 DeleteFile('C:\Users\Администратор.WIN-SJM0VDTGT7P\AppData\Local\TileDataLayer\CjcdmrwN.exe');
 DeleteFile('C:\Users\Администратор.WIN-SJM0VDTGT7P\AppData\Local\TileDataLayer\CjcdmrwN.exe', '64');
 DeleteFile('C:\Users\Администратор.WIN-SJM0VDTGT7P\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ViHMJezE.lnk');
 DeleteFile('C:\Windows\System32\drivers\vwifibus.sys', '64');
 DeleteService('vwifibus');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ViHMJezE');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.

После выполнения скрипта компьютер перезагрузится.

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

15 июля, 2018

Добрый день, Helper.

Результат повторного запуска Autologger во вложении.

Всё сделано по Вашим рекомендациям, номер [KLAN-8401072745]

Спасибо заранее.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 SetServiceStart('vwifibus', 4);
 StopService('vwifibus');
 QuarantineFile('C:\Users\2CAF~1.WIN\AppData\Local\Temp\3\{7BB02CD6-8E06-43BE-AC01-8ABCC574E20D}\{27EAB123-0686-4D95-B81C-A93C8FCF17F5}.tmp', '');
 QuarantineFile('C:\Users\2CAF~1.WIN\AppData\Local\Temp\3\{7BB02CD6-8E06-43BE-AC01-8ABCC574E20D}\{42034200-20B8-4BAC-81C7-3410794FE631}.tmp', '');
 QuarantineFile('C:\Users\Администратор.WIN-SJM0VDTGT7P\AppData\Local\TileDataLayer\CjcdmrwN.exe', '');
 QuarantineFile('C:\Users\Администратор.WIN-SJM0VDTGT7P\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ViHMJezE.lnk', '');
 QuarantineFile('C:\Windows\System32\drivers\vwifibus.sys', '');
 QuarantineFileF('C:\Users\Администратор.WIN-SJM0VDTGT7P\AppData\Local\TileDataLayer\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\2CAF~1.WIN\AppData\Local\Temp\3\{7BB02CD6-8E06-43BE-AC01-8ABCC574E20D}\{27EAB123-0686-4D95-B81C-A93C8FCF17F5}.tmp', '');
 DeleteFile('C:\Users\2CAF~1.WIN\AppData\Local\Temp\3\{7BB02CD6-8E06-43BE-AC01-8ABCC574E20D}\{42034200-20B8-4BAC-81C7-3410794FE631}.tmp', '');
 DeleteFile('C:\Users\Администратор.WIN-SJM0VDTGT7P\AppData\Local\TileDataLayer\CjcdmrwN.exe');
 DeleteFile('C:\Users\Администратор.WIN-SJM0VDTGT7P\AppData\Local\TileDataLayer\CjcdmrwN.exe', '64');
 DeleteFile('C:\Users\Администратор.WIN-SJM0VDTGT7P\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ViHMJezE.lnk');
 DeleteFile('C:\Windows\System32\drivers\vwifibus.sys', '64');
 DeleteService('vwifibus');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ViHMJezE');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.
После выполнения скрипта компьютер перезагрузится.

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

CollectionLog-2018.07.15-10.54.zip

15 июля, 2018

Оверквотингом заниматься не надо. Если что, то для быстрого ответа есть поле внизу.

Полученный ответ сообщите здесь (с указанием номера KLAN)

вы только номер KLAN указали, а ответ забыли.

15 июля, 2018

Понял.

Ответ из техподдержки:

"Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы и ссылки были проверены в автоматическом режиме

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

В антивирусных базах информация по присланным вами ссылкам отсутствует:
https://forum.kasperskyclub.ru/index.php?showtopic=59904

Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте."

15 июля, 2018

Сообщение с требованиями вымогателей прикрепите.

+

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

15 июля, 2018

Файла с требованиями или нет или он зашифрован, просканировал компьютер на "readme" ссылки не открываются формат "html" или зашифрованы. (системные txt и т.д.)

Вложил необходимые файлы по запросу.

Спасибо

FRST.txt

Addition.txt

Изменено 15 июля, 2018 пользователем Егвений

15 июля, 2018

Модификация RotorCrypt,

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку. Но шансов, что помогут с рассшифровкой мало.

+Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

15 июля, 2018

Пришел ответ с требованиями от шифровальщиков.

"Добрый день, мы обеспечили безопасность ваших файлов.

Щас идет массовая экспансия фирм\компаний\предприятий\организаций

воры подменивают банковские реквизиты, крадут информацию о онлайн банкинге, воруют деньги, продают файлы конкурентам и на биржах информации и еще очень много гадостей которые они делают,

все зависит от тематики вашего бизнеса и нахождения файлов на вашем сервере

Мы ваши файлы в своих корысных целях не используем. Наш поинт доносить до компаний всю серьезность сложившейся пагубной обстановки.

Хакеры добро или зло? ядерное оружие добро или зло?

если оно служит для обеспечения безопасности государства а не для запугивания то это не зло.

а хакеры которые делают беззаконие и ищут лишь своей корысти тем самым банкротят бизнес мы - порицаем.

так что все в нашем мире сугубо относительно. мы спасам бизнес людей

Поручите вашему новому системному администратору

Сменить все пароли, ставить сложные пароли

Сменить порт сервера на более сложный

Настроить подключение к серверу лишь через VPN т.е через 1 IP

относитесь к безопасности серьезно, и не принебрегайте ею

естественно мы берем небольшие деньги но эти деньги не могут сравниться с тем сколько бы у вас могли украсть воры, мы просим сущие копейки за вразумление, не более)

Цены за востановление варьируются от 2500 евро. более точно сможем съориентировать после того как пришлете маску ип либо полностью IP сервера.

Доложите информацию руководству для принятия решения.

по вопросам безопасности консультируем бесплатно!

От себя гарантируем добросоестность, прозрачность сделки и выполнение всех своих обязательств в полной мере.

--
Securely sent with Tutanota. Claim your encrypted mailbox today!
https://tutanota.com

rotorcrypt Шифровальщик от INKASATOR1@TUTMAIL.COM

Рекомендуемые сообщения

Егвений

Mark D. Pearlstone

Егвений

regist

Егвений

regist

Егвений

regist

Егвений

regist

Егвений

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum