Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Тоже поймали шифровальщик CryptConsole 3

aleksandarporfenov
 Share Подписчики 0

Рекомендуемые сообщения

aleksandarporfenov

aleksandarporfenov 0

Опубликовано
Опубликовано

Тоже поймали его сегодня, вот текст..
 Your files are encrypted!
YOUR PERSONAL ID
Zrr03PHaSrhIJOdPkxM0p8Sd4Qwz1NbEUngihWst
---------------------------------------------------------------------------------
Discovered a serious vulnerability in your network security.
No data was stolen and no one will be able to do it while they are encrypted.
For you we have automatic decryptor and instructions for remediation.
---------------------------------------------------------------------------------
You will receive automatic decryptor and all files will be restored
---------------------------------------------------------------------------------
* To be sure in getting the decryption, you can send one file(less than 10MB) to mirey@tutanota.com or teresa@tutanota.de In the letter include your personal ID(look at the beginning of this document).
Attention!
Attempts to self-decrypting files will result in the loss of your data
Decoders other users are not compatible with your data, because each user's unique encryption key
---------------------------------------------------------------------------------
 

можно здесь попросить помощи, что бы тем не плодить?

Сообщение от модератора thyrex
Перенесено из темы https://forum.kasperskyclub.ru/index.php?showtopic=60055
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 412

Опубликовано
Опубликовано

можно здесь попросить помощи, что бы тем не плодить?

у каждого пострадавшего своя тема

 

Порядок оформления запроса о помощи

Логи прикрепите к следующему сообщению в данной теме.

Ссылка на сообщение
Поделиться на другие сайты
aleksandarporfenov

aleksandarporfenov 0

Опубликовано
  • Автор
Опубликовано (изменено)

Как я понял расшифровать ничего нельзя, видимо придется платить. Посмотрите пожалуйста логи, может хотя бы понятно откуда он взялся? 

пожрал файлы из папок с общим доступом на сервере, сами пк пользователей не тронуты

CollectionLog-2018.07.31-18.17.zip

Изменено пользователем aleksandarporfenov
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 412

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 412

Опубликовано
Опубликовано

Судя по логам, источником инфекции стала другая машина в сети. В этих ни шифрованных файлов, ни сообщений вымогателей для связи.

  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
aleksandarporfenov

aleksandarporfenov 0

Опубликовано
  • Автор
Опубликовано

Судя по логам, источником инфекции стала другая машина в сети. В этих ни шифрованных файлов, ни сообщений вымогателей для связи.

На этом сервере как раз файлы и зашифрованы, но мне тоже показалось, что атака была с пользовательского ПК.

Могу я каким-то образом попытаться найти как это ПК? в подозрении у меня 12 штук..

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 412

Опубликовано
Опубликовано

Ищите тот, на котором зашифрованы не только расшаренные папки и файлы README.txt тоже встречаются массово.

  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
aleksandarporfenov

aleksandarporfenov 0

Опубликовано
  • Автор
Опубликовано

в том и проблема, что все пользовательские пк не зашифрованы.


Ищите тот, на котором зашифрованы не только расшаренные папки и файлы README.txt тоже встречаются массово.

еще есть одна папка на другом сервере, там много зараженных файлов, может тут что-то будет.

прикрепил всё как по прошлому

CollectionLog-2018.07.31-19.24.zip

FRST64 log.zip

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 412

Опубликовано
Опубликовано

Да, этот и стал источником.

 

Папку C:\Confused удалите. Судя по времени ее появления, зашли первый раз около 6 вечера, а шифрование дальше запустили уже ночью.

 

Пароль от RDP смените.

 

Кстати, никакой установки обновлений для софта у Вас после 18:00 не планируется по расписанию? Можно еще логи сервера посмотреть, если они не зашифрованы. Возможно в них есть упоминание о выполненных после несанкционированного входа действиях. В том числе и возможное копирование информации из открываемых txt-файлов. Имя такого файла совпадает с ID в файле README.txt и расположен этот файл был на Рабочем столе.

  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
aleksandarporfenov

aleksandarporfenov 0

Опубликовано
  • Автор
Опубликовано

Да, этот и стал источником.

 

Папку C:\Confused удалите. Судя по времени ее появления, зашли первый раз около 6 вечера, а шифрование дальше запустили уже ночью.

 

Пароль от RDP смените.

 

Кстати, никакой установки обновлений для софта у Вас после 18:00 не планируется по расписанию? Можно еще логи сервера посмотреть, если они не зашифрованы. Возможно в них есть упоминание о выполненных после несанкционированного входа действиях. В том числе и возможное копирование информации из открываемых txt-файлов. Имя такого файла совпадает с ID в файле README.txt и расположен этот файл был на Рабочем столе.

судя по диспетчеру служб удаленных столов ночью зашел под пользователем sqluser, которого я даже в ад не вижу.. Спасибо большое за наводку.

а обычно появляются дешифраторы для таких шифровальщиков спустя какое-то время?

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 412

Опубликовано
Опубликовано

В данном случае его не будет. Используется неподлежащий брутфорсу генератор ключей. А ключей этих два.

Есть такой пользователь в логе Addition.txt

sqluser (0 - Limited - Enabled) => %systemroot%\system32\config\systemprofile

 

 

В логе FRST.txt

Loaded Profiles: Администратор (Available Profiles: lmihailova & amatveev & USR1CV81 & sqluser & develop & aniskin & sa & Администратор & Classic .NET AppPool)

 

 

  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
aleksandarporfenov

aleksandarporfenov 0

Опубликовано
  • Автор
Опубликовано

 

В данном случае его не будет. Используется неподлежащий брутфорсу генератор ключей. А ключей этих два.

 

Есть такой пользователь в логе Addition.txt

sqluser (0 - Limited - Enabled) => %systemroot%\system32\config\systemprofile

 

 

В логе FRST.txt

Loaded Profiles: Администратор (Available Profiles: lmihailova & amatveev & USR1CV81 & sqluser & develop & aniskin & sa & Администратор & Classic .NET AppPool)

 

 

 

Про то, что не расшифруют никогда это конечно печально, попробуем платить, если почта их еще активна..

Юзера нашел, спасибо. И вообще спасибо, большую работу делаете :)

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 0
Перейти к списку тем
×
×
  • Создать...