Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Зашифровали файлы на сервере 2012 r2

m.tym
 Поделиться

Рекомендуемые сообщения

m.tym

m.tym

Опубликовано
Опубликовано

Здравствуйте. Зашифровали файлы на сервере 2012 R2. 

Самое важное это база 1C)

 

Открывается вот это сообщение.

 

Decrypting your files is easy. Take a deep breath and follow the steps below. 

1 ) Make the proper payment. 
Payments are made in Monero. This is a crypto-currency, like bitcoin.
You can buy Monero, and send it, from the same places you can any other
crypto-currency. If you're still unsure, google 'monero exchange'. 
 
Sign up at one of these exchange sites and send the payment to the address below.
 
Payment Address (Monero Wallet): 
 
45eRCyNYwcs15xGKL6Y6xg88BccgLd3z6M6XRKmhnMi3REVHzgBPk1nHUn3jQ2S2f6XwC6jzQcH2SjM81jCNYKtMQvGvcbi
 
2 ) Farther you should send your ip address to email address sqqsdr01@keemail.me
Then you will receive all necessary key. 
 
Prices :
Days : Monero : Offer Expires 
0-2  : 500$  :  10/25/18 
3-6  : 1000$ : 10/29/18
 
Note: In 7 days your password decryption key gets permanently deleted. 
You then have no way to ever retrieve your files. So pay now.
 
 
 
 

Файлы FRST и Addition прикрепляю.

Ссылка на комментарий
Поделиться на другие сайты
m.tym

m.tym

Опубликовано
  • Автор
Опубликовано

Сейчас соберу автологером, этот файл из предыдущего сообщения.


Проверка KVRT ничего не нашла. Лог с Avtologger прикрепляю.

Desktop.rar

CollectionLog-2018.10.24-14.05.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Один из файлов DECRIPT_FILES.txt вместе с несколькими небольшими зашифрованными документами упакуйте в архив и прикрепите к следующему сообщению.

 

"Пофиксите" в HijackThis:

O4 - Startup other users: C:\Users\ADokuchaev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\AKondratov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\AOsipov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\Aleksandr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\ESmarigina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\KVolchanina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\NShavekin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\USR1CV83\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\User-1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\User-2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - User Startup: C:\Users\MKorablev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
Перезагрузите компьютер и соберите свежий CollectionLog.
Ссылка на комментарий
Поделиться на другие сайты
m.tym

m.tym

Опубликовано
  • Автор
Опубликовано

Один из файлов DECRIPT_FILES.txt вместе с несколькими небольшими зашифрованными документами упакуйте в архив и прикрепите к следующему сообщению.

 

"Пофиксите" в HijackThis:

O4 - Startup other users: C:\Users\ADokuchaev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\AKondratov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\AOsipov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\Aleksandr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\ESmarigina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\KVolchanina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\NShavekin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\USR1CV83\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\User-1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\User-2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - User Startup: C:\Users\MKorablev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
Перезагрузите компьютер и соберите свежий CollectionLog.

 

 

Пофиксил, но решил не маяться, восстановил с NAS хранилища Acronisом бэкап, правда позавчерашний. Вечерний не смог забэкапиться из за этой атаки. Спасибо за ответы. 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • GLADvanger
      Зашифровали файлы на сервере.
      Автор GLADvanger
      Добрый день!
      Зашифровали файлы добавили в каждому расширение .com
      При открытии любого документы с таким расширением вылезает окошко блокнота с текстом:
      Hi!
      All your files are encrypted!
      Your decryption ID: 8FKNMypGuRjkG2BXJeXToZ28gEGiD1Coc8C_Z00tqRU*tony@mailum.com
      We will solve your problem but you need to pay to get your files back
      Write us
      Our email - tony@mailum.com
       
      KVRT просканировал, нашел троян Trojan.Multi.Ifeodeb
       
      Логи в приерепленном
       
      FRST log.rar
    • komma77
      Зашифровали сервер и копьютеры.
      Автор komma77
      Добрый день. Зашифрованы сервер и компьютеры.  
      файлы и записка.zip Addition.txt FRST.txt
    • zimolev
      Зашифровали сервера шифровальщик Zeppelin
      Автор zimolev
      на Добрый день. Словили шифрователь Zeppelin. Назаписка.zipчалось все фтп сервера, перекинулось на многие другие, Рабочие машины не пострадали, Все произошло в ночь с 29 на 30 июня 2025
      зашифрованныеФайлы.zip Addition.txt FRST.txt
    • F_Aliaksei
      Зашифрованы копьютеры и сервера в домене
      Автор F_Aliaksei
      Добрый день. Зашифрованы компьютеры и сервера в домене.
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by KOZANOSTRA
      Your decryption ID is HUQ7OPKpvUiVOz-fEMJo4L9kGcByDd1JvpaG1EG6QgE*KOZANOSTRA-HUQ7OPKpvUiVOz-fEMJo4L9kGcByDd1JvpaG1EG6QgE
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - vancureez@tuta.io
      2) Telegram - @DataSupport911 or https://t.me/DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
      FRST.txt Addition.txt Остатки МЦ Фомин.xls.rar СЧЕТ 10 ДЛЯ СПИСАНИЯ_ИТ.xls.rar
    • VladDos
      С77L зашифровали сервера 1С
      Автор VladDos
      11.06.25 в 4:50 были зашифрованы сервера с базами 1С, в ходе поисков были обнаружены инструменты хакеров и некоторые части дешифратора(который явно не должно было быть).
      Текстовый файлик с инструкцией для выкупа - стандартная схема. Да вот только не можем толку дать, что делать с ключем дешифрации и куда его девать чтобы расшифровать наши файлы.
      Зашифрованный файлик, декриптор и ключ прикладыDecryptor.zipваю.
×
×
  • Создать...