Перейти к содержанию

Шифратор с почтой kares@keemail.me

ilk006
 Поделиться

Рекомендуемые сообщения

ilk006

ilk006

Опубликовано
Опубликовано

Добрый день!

Шифровальщик с обратной почтой зашифровал почти все на компьютере и сетевом хранилище.

 

README.txt следующего содержания:

 

Содержание README.txt:

Your files are encrypted!
YOUR PERSONAL ID
z8yPOcFa6kmp1Gib5f1YLGDT9ao2RugN3rWl5zKn
---------------------------------------------------------------------------------
Discovered a serious vulnerability in your network security.
No data was stolen and no one will be able to do it while they are encrypted.
For you we have automatic decryptor and instructions for remediation.
---------------------------------------------------------------------------------
You will receive automatic decryptor and all files will be restored
---------------------------------------------------------------------------------
* To be sure in getting the decryption, you can send one file(less than 10MB) to kares@keemail.me or kares@tuta.io In the letter include your personal ID(look at the beginning of this document).
Attention!
Attempts to self-decrypting files will result in the loss of your data
Decoders other users are not compatible with your data, because each user's unique encryption key
---------------------------------------------------------------------------------

 
Логи приложить не могу т.к. компьютер-источник не загружается и восстанавливать я его не собираюсь.
Или нужно как-то попытаться запустить компьютер для сборки логов и проверки с помощью FRST?
 
Способ заражения пока неизвестен, предположительно с рабочей флешки жены.
 
Стоит ли надеяться и искать способы расшифровки или безнадежно?
 
 
mike 1

mike 1

Опубликовано
Опубликовано (изменено)

Что запускали перед появлением проблемы?

Изменено пользователем mike 1
ilk006

ilk006

Опубликовано
  • Автор
Опубликовано (изменено)

Что запускали перед появлением проблемы?

 

Просто серфинг по интернет-магазинам (вполне известным типа Wildberies). Другие машины в сети не пострадали (за исключением NAS-сервера, который успел зашифроваться почти весь). Шифруются все все файлы за редким исключением. На компьютере-жертве злоумышленником была установлена утилитка Don't Sleep. Потом компьютеру заплохело, пропали иконки с рабочего стола и т.д. Только тогда жена мне сказала. Вроде бы несколько дней назад рабочий стол черным становился. Рабочая флешка в компьютере торчала пару дней точно. После перезагрузки машина уже не запустилась т.к. много чего покоцано. До перезагрузки убрал все лишнее в автозагрузке, что-то машинально еще сделал. Штатный виндовый антивирус кстати чем-то был вырублен и отключался при его запуске. С флешки загрузился, ничего интересного не нашел, разве что ясно стало что эта машина - источник заражения. Сейчас пробую найти удаленные файлы, вдруг повезет и файл с ключами найдется. 

UPD: ничего похожего на файл с ключами не нашлось. На рабочем столе вообще удаленных файлов нет. Проверял с помощью R-Studio.

Изменено пользователем ilk006
mike 1

mike 1

Опубликовано
Опубликовано

 

 

Штатный виндовый антивирус кстати чем-то был вырублен и отключался при его запуске.

Удаленно скорее всего зашли. Это CryptoConsole 3 версии http://id-ransomware.blogspot.com/2018/04/sequre-ransomware.html

ilk006

ilk006

Опубликовано
  • Автор
Опубликовано

UPD2: Имена файлов меняются на примерно такие: 24525833474E54302E657865 (без расширения). Одна из утилит для расшифровки (CryptConsoleDecriptor 2.2.0.0) умеет определять правильное имя исходного файла. Расшифровать - нет.
Какими утилитами можно поэкспериментировать? Как можно попробовать определить самого шифровальщика?

mike 1

mike 1

Опубликовано
Опубликовано

 

 

Какими утилитами можно поэкспериментировать?

Лучше не экспериментировать, можете убить файлы окончательно. Создайте запрос на расшифровку в техподдержку. 

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • rrustam
      Заражение файлов на сервере
      Автор rrustam
      Добрый день, утром вышли на работу и увидели в общей папке на сервере преобразованные файлы
       
      в следующем формате "D0A0D0B5D0B5D181D182D18020D0BDD0B5D0B2D0B5D180D0BDD0BE20D0BED184D0BED180D0BCD0BBD0B5D0BDD0BDD18BD18520D0B820D0BED182D181D183D182D181D0B2D183D18ED189D0B8D18520D09FD0945FD09ED091D0A0D090D097D095D0A62E786C7378" это название файла и без расширения.
      Вот текст письма вымогателей
       "Your files are encrypted!
      YOUR PERSONAL ID  4OkaB2XymdtH5Yf0156q9Ii0YWLze9OWSXcH4MwY --------------------------------------------------------------------------------- Discovered a serious vulnerability in your network security. No data was stolen and no one will be able to do it while they are encrypted. For you we have automatic decryptor and instructions for remediation. For instructions, write to us on one of our mails  MotokoKusanagi@tutamail.com  or  ShotaroKaneda@tutanota.de --------------------------------------------------------------------------------- You will receive automatic decryptor and all files will be restored --------------------------------------------------------------------------------- * To be sure in getting the decryption, you can send one file(less than 10MB) to MotokoKusanagi@tutamail.com  or ShotaroKaneda@tutanota.de In the letter include your personal ID(look at the beginning of this document). Attention! Attempts to self-decrypting files will result in the loss of your data Decoders other users are not compatible with your data, because each user's unique encryption key"   Масштаб бедствия огромный, жду ответа  CollectionLog-2018.12.14-10.00.zip
    • suba-ru
      Шифровальщик на Server2008 R2
      Автор suba-ru
      Добрый день. Знакомые позвонили- зашифрованы бызы 1с и содержимое архивов на Win2008R2.
      Пока доступа к компу нету- надо ехать/ Сориентируйте есть смысл пытаться расшифровать или нет?
      В папках файлик такой. Файлы без расширений цифробуквеный набр.. Файлы Exel  со слов  не зашифрованы
        Заранее спасибо за ответ

      Что-то файл не прицепился
      Your files are encrypted! YOUR PERSONAL ID rdOGG72awGSkwHZLkfAmSaoZXrluIddzjdyCws7f --------------------------------------------------------------------------------- Discovered a serious vulnerability in your network security. No data was stolen and no one will be able to do it while they are encrypted. For you we have automatic decryptor and instructions for remediation. --------------------------------------------------------------------------------- You will receive automatic decryptor and all files will be restored --------------------------------------------------------------------------------- * To be sure in getting the decryption, you can send one file(less than 10MB) to kares@keemail.me or kares@tuta.io In the letter include your personal ID(look at the beginning of this document). Attention! Attempts to self-decrypting files will result in the loss of your data Decoders other users are not compatible with your data, because each user's unique encryption key ---------------------------------------------------------------------------------
    • Den4eG01
      Зашифровали все файлы (без расширения)
      Автор Den4eG01
      Добрый день! Пришли с утра на работу,подключились к серверу RDP и там все файлы зашифрованы и имеют имена состоящие из букв и цифр не умеющие расширения! запросили 1000 USD в биткоинах! 
      cureit.log
      CollectionLog-2018.12.11-15.24.zip
    • receiver
      Зашифрованы базы 1С
      Автор receiver
      Проблема один в один.

      https://forum.kasperskyclub.ru/index.php?showtopic=60803&page=0


      Сообщение от модератора SQ Пожалуйста не пишите в чужих темах. Каждый случай уникален.
    • papakarlo
      Зашифрованы базы 1С
      Автор papakarlo
      Через RDP зашифрованы базы 1С и все что с 1С связано.
       
       
       
      Прошу помощи с расшифровкой.
       
      Заранее спасибо
      CollectionLog-2018.10.22-15.05.zip
      README.txt
      files.zip
×
×
  • Создать...