Перейти к содержанию

Зашифровали файлы на сервере 2012 r2

m.tym
 Share

Рекомендуемые сообщения

m.tym Новичок

m.tym

Опубликовано
Опубликовано

Здравствуйте. Зашифровали файлы на сервере 2012 R2. 

Самое важное это база 1C)

 

Открывается вот это сообщение.

 

Decrypting your files is easy. Take a deep breath and follow the steps below. 

1 ) Make the proper payment. 
Payments are made in Monero. This is a crypto-currency, like bitcoin.
You can buy Monero, and send it, from the same places you can any other
crypto-currency. If you're still unsure, google 'monero exchange'. 
 
Sign up at one of these exchange sites and send the payment to the address below.
 
Payment Address (Monero Wallet): 
 
45eRCyNYwcs15xGKL6Y6xg88BccgLd3z6M6XRKmhnMi3REVHzgBPk1nHUn3jQ2S2f6XwC6jzQcH2SjM81jCNYKtMQvGvcbi
 
2 ) Farther you should send your ip address to email address sqqsdr01@keemail.me
Then you will receive all necessary key. 
 
Prices :
Days : Monero : Offer Expires 
0-2  : 500$  :  10/25/18 
3-6  : 1000$ : 10/29/18
 
Note: In 7 days your password decryption key gets permanently deleted. 
You then have no way to ever retrieve your files. So pay now.
 
 
 
 

Файлы FRST и Addition прикрепляю.

Ссылка на комментарий
Поделиться на другие сайты
m.tym Новичок

m.tym

Опубликовано
  • Автор
Опубликовано

Сейчас соберу автологером, этот файл из предыдущего сообщения.


Проверка KVRT ничего не нашла. Лог с Avtologger прикрепляю.

Desktop.rar

CollectionLog-2018.10.24-14.05.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Один из файлов DECRIPT_FILES.txt вместе с несколькими небольшими зашифрованными документами упакуйте в архив и прикрепите к следующему сообщению.

 

"Пофиксите" в HijackThis:

O4 - Startup other users: C:\Users\ADokuchaev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\AKondratov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\AOsipov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\Aleksandr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\ESmarigina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\KVolchanina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\NShavekin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\USR1CV83\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\User-1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\User-2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - User Startup: C:\Users\MKorablev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
Перезагрузите компьютер и соберите свежий CollectionLog.
Ссылка на комментарий
Поделиться на другие сайты
m.tym Новичок

m.tym

Опубликовано
  • Автор
Опубликовано

Один из файлов DECRIPT_FILES.txt вместе с несколькими небольшими зашифрованными документами упакуйте в архив и прикрепите к следующему сообщению.

 

"Пофиксите" в HijackThis:

O4 - Startup other users: C:\Users\ADokuchaev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\AKondratov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\AOsipov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\Aleksandr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\ESmarigina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\KVolchanina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\NShavekin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\USR1CV83\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\User-1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\User-2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - User Startup: C:\Users\MKorablev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
Перезагрузите компьютер и соберите свежий CollectionLog.

 

 

Пофиксил, но решил не маяться, восстановил с NAS хранилища Acronisом бэкап, правда позавчерашний. Вечерний не смог забэкапиться из за этой атаки. Спасибо за ответы. 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • jserov96
      Зашифровали сервер файлами с расширением .vx2
      От jserov96
      Шифровальщик запустился скорее всего из планировщика заданий ровно в 21:00 16 ноября в субботу.  Время указано на основе найденных зашифрованных файлов. Шифровальщик нашел все скрытые диски, подключил все бекапы, зашифровал все содержимое .vhd бекапов, и сами бекапы тоже зашифровал. Сервер отключен, диск с бекапами снят, зашифрованные .vhd файлы перенесены на другой диск, чтобы попробовать вытащить файлы. Шифровальщик шифрует первый 20000h байт файла и дописывает 300h байт в огромные файлы, видимо сделано для ускорения шифрования всего диска. Особенность: выполняемые файлы не шифруются!
      vx2.rar
    • Azward
      Зашифровались файлы hop_dec
      От Azward
      Добрый день! 
      Зашифровались все файлы на рабочей машине. В том числе 1с базы.
      [MJ-CR7920861453](decodehop@gmail.com )   Все файлы с таким расширением.
      Отправил во вложении Архив с файлом, и логи FRST
      Надеемся на вашу помощь. Стоял касперский Small office security. Не помог. Сейчас вовсе исчез.
      virus.rar Addition.txt FRST.txt
    • whoamis
      Зашифровало сервер сегодня
      От whoamis
      Добрый день зашифровало сервер, предположительно кто-то скачал картинку на сервере и открыл.
      Addition.txt FRST.txt 11.rar
    • Andrei Butyrchyk
      Зашифрованы файлы с расширением .mammn
      От Andrei Butyrchyk
      Здравствуйте!
      Отработал на машине шифровальщик. До конца отработать, по всей видимости, не успел так как нет записки и не все файлы были зашифрованы.
      Есть папки с RSADecryptKey и предположительно сам файл шифровальщик.
      FRST.zip EncryptedFiles.zip
    • Лариса B
      King зашифровал файлы организации
      От Лариса B
      Добрый день!
      В локальную сеть попал шифровальщик.  Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      К сожалению пока не удалось понять, как он попал и где нахоится источник(. 
      Но сегодня  ночью, по времени - все файлы  оказались зашифрованы. 

      Прикладывают  файлы, согласно правилам зашифрованные файлы + требования.rar

      Подскажите пож-та 
      1. Как найти источник   заражения, сам шифровальщик, какие есть методы 
      2. Как можно дешифровать  данные файлы 
       
      Спасибо большое!
×
×
  • Создать...