Тоже поймали шифровальщик CryptConsole 3

[aleksandarporfenov]

Тоже поймали его сегодня, вот текст..
 Your files are encrypted!
YOUR PERSONAL ID
Zrr03PHaSrhIJOdPkxM0p8Sd4Qwz1NbEUngihWst
---------------------------------------------------------------------------------
Discovered a serious vulnerability in your network security.
No data was stolen and no one will be able to do it while they are encrypted.
For you we have automatic decryptor and instructions for remediation.
---------------------------------------------------------------------------------
You will receive automatic decryptor and all files will be restored
---------------------------------------------------------------------------------
* To be sure in getting the decryption, you can send one file(less than 10MB) to mirey@tutanota.com or teresa@tutanota.de In the letter include your personal ID(look at the beginning of this document).
Attention!
Attempts to self-decrypting files will result in the loss of your data
Decoders other users are not compatible with your data, because each user's unique encryption key
---------------------------------------------------------------------------------
 

можно здесь попросить помощи, что бы тем не плодить?

Сообщение от модератора thyrex

Перенесено из темы https://forum.kasperskyclub.ru/index.php?showtopic=60055

[thyrex]

можно здесь попросить помощи, что бы тем не плодить?

у каждого пострадавшего своя тема

 

Порядок оформления запроса о помощи

Логи прикрепите к следующему сообщению в данной теме.

[aleksandarporfenov]

Как я понял расшифровать ничего нельзя, видимо придется платить. Посмотрите пожалуйста логи, может хотя бы понятно откуда он взялся? 

пожрал файлы из папок с общим доступом на сервере, сами пк пользователей не тронуты

CollectionLog-2018.07.31-18.17.zip

Изменено 31 июля, 2018 пользователем aleksandarporfenov

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[aleksandarporfenov]

Логи с программы

FRST64log.zip

[thyrex]

Судя по логам, источником инфекции стала другая машина в сети. В этих ни шифрованных файлов, ни сообщений вымогателей для связи.

[aleksandarporfenov]

Судя по логам, источником инфекции стала другая машина в сети. В этих ни шифрованных файлов, ни сообщений вымогателей для связи.

На этом сервере как раз файлы и зашифрованы, но мне тоже показалось, что атака была с пользовательского ПК.

Могу я каким-то образом попытаться найти как это ПК? в подозрении у меня 12 штук..

[thyrex]

Ищите тот, на котором зашифрованы не только расшаренные папки и файлы README.txt тоже встречаются массово.

[aleksandarporfenov]

в том и проблема, что все пользовательские пк не зашифрованы.

Ищите тот, на котором зашифрованы не только расшаренные папки и файлы README.txt тоже встречаются массово.

еще есть одна папка на другом сервере, там много зараженных файлов, может тут что-то будет.

прикрепил всё как по прошлому

CollectionLog-2018.07.31-19.24.zip

FRST64 log.zip

[thyrex]

Да, этот и стал источником.

 

Папку C:\Confused удалите. Судя по времени ее появления, зашли первый раз около 6 вечера, а шифрование дальше запустили уже ночью.

 

Пароль от RDP смените.

 

Кстати, никакой установки обновлений для софта у Вас после 18:00 не планируется по расписанию? Можно еще логи сервера посмотреть, если они не зашифрованы. Возможно в них есть упоминание о выполненных после несанкционированного входа действиях. В том числе и возможное копирование информации из открываемых txt-файлов. Имя такого файла совпадает с ID в файле README.txt и расположен этот файл был на Рабочем столе.

[aleksandarporfenov]

Да, этот и стал источником.

 

Папку C:\Confused удалите. Судя по времени ее появления, зашли первый раз около 6 вечера, а шифрование дальше запустили уже ночью.

 

Пароль от RDP смените.

 

Кстати, никакой установки обновлений для софта у Вас после 18:00 не планируется по расписанию? Можно еще логи сервера посмотреть, если они не зашифрованы. Возможно в них есть упоминание о выполненных после несанкционированного входа действиях. В том числе и возможное копирование информации из открываемых txt-файлов. Имя такого файла совпадает с ID в файле README.txt и расположен этот файл был на Рабочем столе.

судя по диспетчеру служб удаленных столов ночью зашел под пользователем sqluser, которого я даже в ад не вижу.. Спасибо большое за наводку.

а обычно появляются дешифраторы для таких шифровальщиков спустя какое-то время?

[thyrex]

В данном случае его не будет. Используется неподлежащий брутфорсу генератор ключей. А ключей этих два.

Есть такой пользователь в логе Addition.txt

sqluser (0 - Limited - Enabled) => %systemroot%\system32\config\systemprofile

 

 

В логе FRST.txt

Loaded Profiles: Администратор (Available Profiles: lmihailova & amatveev & USR1CV81 & sqluser & develop & aniskin & sa & Администратор & Classic .NET AppPool)

 

 

[aleksandarporfenov]

 

В данном случае его не будет. Используется неподлежащий брутфорсу генератор ключей. А ключей этих два.

 

Есть такой пользователь в логе Addition.txt

sqluser (0 - Limited - Enabled) => %systemroot%\system32\config\systemprofile

 

 

В логе FRST.txt

Loaded Profiles: Администратор (Available Profiles: lmihailova & amatveev & USR1CV81 & sqluser & develop & aniskin & sa & Администратор & Classic .NET AppPool)

 

 

 

Про то, что не расшифруют никогда это конечно печально, попробуем платить, если почта их еще активна..

Юзера нашел, спасибо. И вообще спасибо, большую работу делаете

[thyrex]

На его Рабочем столе никаких txt-файлов с ключами тоже нет?

[aleksandarporfenov]

На его Рабочем столе никаких txt-файлов с ключами тоже нет?

так же как и везде ридмишник и всё зашифровано