Xorist-Frozen. Новая разновидность.

[samadhist]

Добрый день! имеется пострадавший сервер на Windows Server 2008R2. 

был подобран пароль к учётке админа и установлен криптолокер.

все файлы имеют расширение:

.DATA_IS_SAFE_YOU_NEED_TO_MAKE_THE_PAYMENT_IN_MAXIM_24_HOURS_OR_ALL_YOUR_IMPORTANT_FILES_WILL_BE_LOST_FOREVER_PLEASE_BE_REZONABLE_IS_NOT_A_JOKE_TIME_IS_LIMITED

систему уже пролечил, пароли сменил, но требуется помощь в дешифровке файлов.

все необходимые архивы прилагаю. 

буду благодарен за любую помощь!

CollectionLog-2018.10.16-00.32.zip

FRST.rar

sample.rar

[SQ]

Здравствуйте,

Вам знакома следующая настройка?

O7 - IPSec: Name: win (2018/09/30) - {ea3d90b5-d4aa-43d8-82ae-bf4ce370e5a1} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/09/30) - {ea3d90b5-d4aa-43d8-82ae-bf4ce370e5a1} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/09/30) - {ea3d90b5-d4aa-43d8-82ae-bf4ce370e5a1} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/09/30) - {ea3d90b5-d4aa-43d8-82ae-bf4ce370e5a1} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/09/30) - {ea3d90b5-d4aa-43d8-82ae-bf4ce370e5a1} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = 127.0.0.1:10011 (disabled)
O22 - Task: Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
O22 - Task: WinHostStartForMachne - C:\ProgramData\winhost.exe (file missing)
O22 - Task: ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 QuarantineFile('c:\windows\debug\item.dat','');
 QuarantineFile('c:\windows\debug\ok.dat','');
 QuarantineFile('C:\ProgramData\winhost.exe','');
 DeleteSchedulerTask('Mysa1');
 DeleteSchedulerTask('ok');
 DeleteSchedulerTask('WinHostStartForMachne');
 DeleteFile('C:\ProgramData\winhost.exe','64');
 DeleteFile('c:\windows\debug\ok.dat','64');
 DeleteFile('c:\windows\debug\item.dat','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

После выполнения скрипта перезагрузите ваш сервер вручную.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[samadhist]

Огромная благодарность за помощь!
отдельный поклон модератору thyrex за предоставленный файл с ключом для расшифровки.

Работает великолепно!
Вы мои герои, ребята. дай Бог Вам здоровья и счастья.
 

[thyrex]

Если minion67, это Ваш никнейм на BC, то небольшая просьба на будущее: выкладывать файлы, в имени которых нет никаких китайских иероглифов. Пришлось повозиться гораздо дольше с брутом ключа.

[samadhist]

Если minion67, это Ваш никнейм на BC, то небольшая просьба на будущее: выкладывать файлы, в имени которых нет никаких китайских иероглифов. Пришлось повозиться гораздо дольше с брутом ключа.

 

нет, не совсем. это не я, но я следил так же за той темой на том забугорном форуме, т.к. там ребята с аналогичной проблемой. спасибо за помощь. мне помогло, файлы расшифровались.