Перейти к содержанию

Вирус зашифровал файлы с расширением .crypton

Apo Ucoz
 Поделиться

Рекомендуемые сообщения

Apo Ucoz

Apo Ucoz

Опубликовано
Опубликовано

Добрый день. Вчера был взломан один из наших серверов и все важные файлы на нём были зашифрованы... Просим помочь расшифровать файлы. Там у нас всё, что необходимо для работы фирмы. Пожалуйста, не откажите в помощи!

 

В прикреплении логи + образец зашированного файла + текст вымогателя. Заранее огромное вам спасибо за любую помощь!


Прикрепляю логи с Farbar Recovery Scan Tool

CollectionLog-2019.04.22-15.21.zip

DECRIPT_FILES.zip

Addition.txt

FRST.txt

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Расшифровки этого типа вымогателя нет, увы.

 

Смените пароль на RDP. Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Apo Ucoz

Apo Ucoz

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Расшифровки этого типа вымогателя нет, увы.

 

Смените пароль на RDP. Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

 

Уязвимости не обнаружены... То есть мы можем попрощаться со своим сервером? Что, если заплатить вымогателю? 

И да, вот ещё что: подскажите название этого вируса и существует ли защита от подобного вида вирусов для Windows Server 2008 R2 и Windows Server 2012? Спасибо!

Apo Ucoz

Apo Ucoz

Опубликовано
  • Автор
Опубликовано

В общем, заплатили деньги. Выслали дешифратор и инструкции, как закрыть уязвимости системы. Дешифратор работает, ключом шифровки и списком утилит, которыми шифровали, тоже обладаем. Рад, что хоть не обманули и охотно поддерживали диалог, а ведь могли тупо кинуть...

Sandor

Sandor

Опубликовано
Опубликовано

инструкции, как закрыть уязвимости системы

И как же?
Apo Ucoz

Apo Ucoz

Опубликовано
  • Автор
Опубликовано

 

инструкции, как закрыть уязвимости системы

И как же?
Вот выдержка из письма:

 

!!!Be sure to fix it!!!

 

Delete the administration of the 1C server from the external network, port: 1540! Delete all test databases from the 1C server! Hide all 1c users so that they enter their logins manually and set very complex passwords. Replace the service account with an account without administrator rights!

Configure the security profile on the 1C server. Set the Server Administrator 1C

 

https://its.1c.ru/db/metod8dev/content/5816/hdoc

  • Улыбнуло 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Дмитрий123
      Вирус-шифровальщик атаковал сервер с базой 1С
      Автор Дмитрий123
      добрый день!
       у нас такая же проблема сегодня всплыла, удалось найти решение, спасли данные?

      прогнали антивирусники Касперского и DR.Web, не помогли. Прикрепил список вирусов
       

      Сообщение от модератора kmscom сообщение перенесено из темы Вирус-шифровальщик атаковал сервер с базой 1С Cписок вирусов.txt
    • Vanya Berdar
      Зашифрованные файлы от decryptallfiles3@india Мне нужна ваша помощь!
      Автор Vanya Berdar
      Здравствуйте у меня зашифрованные файлы уже более как 2 года, я уже пробовал разные дешифраторы и ничего не помогло, у меня очень много важных файлов фотографий есть и не удалял, потому что верил в то что найдется способ их расшифровать. Около 30 тысяч файлов, я не надеюсь что все смогу открыть хотя бы часть, если это возможно! С Уважение Ваня Бердар 
      В архиве одно фото из зашифрованных!
       

      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Задай вопрос Евгению Касперскому!" decryptallfiles3@india.rar
    • alexey_lexx
      Зашифрованные файлы с расширением enlock
      Автор alexey_lexx
      Добрый день! Зашифровались очень важные файлы на компьютере. Компьютер защищен Антивирусом Касперского kav6. Заразу явно подцепили из почты.  Логи прилагаю. Авансом спасибо за помощь!
      CollectionLog-2018.10.30-10.44.zip
    • personaRU
      Дешифровальщик CHARM
      Автор personaRU
      Здравствуйте!
        Нужна помощь, зашифрованны важные файлы 1С, базы.
      Текст письма:
      Dear manager,
      your database server has been locked, your databases files are encrypted and you have unfortunately "lost" all your data, Encryption was produced using unique key AES-256 generated for this server.
      To decrypt files you need to obtain the decryption key and tool.
      All encrypted files ends with .charm
      To obtain the program for this server, which will decrypt all files, you need to write me to email: "fmhir@protonmail.com"
      Before payment you can send us one small file (100..500 kilobytes) and we will decrypt it - it's your guarantee that we have decryption tool. And send us your userkey
      We don't know who are you, All what we need is some money.
      Don't panic if we don't answer you during 24 hours. It means that we didn't received your letter and write us again.
      You can use one of that bitcoin exchangers for transfering bitcoin:
      https://localbitcoins.com
      https://www.kraken.com
      You dont need install bitcoin programs - you need only use one of this exchangers or other exchanger that you can find in www.google.com for your country.
      Please use english language in your letters. If you don't speak english then use https://translate.google.comto translate your letter on english language.
      You don't have enough time to think each day payment will increase and after one week your key will be deleted and your files will be locked forever.
      USERKEY:
      x3LxVz4M5yQ1dMmMBrH5PeqCQc+uAGmFgRjwMYW7RUdlRqyI+q5bTszNNBSglrrsONZONDw+4rXFGXMzt3d/Xeyv/OeVf4rOqEvZNPI8h8r16WtXGl5u1KM0WAvku2cF+I2cQHXKOWi2BP+/Q5rVPAvpmtBGGCUxNmwxtDwCrJIY5aqzSRLxE+4L1/WsvvEw9Pi8asGn/3EYNOrsJv/Z/BYLUx7TOIlxZmpB/07VNHNInhO7tLT3TcDChRVm63DbUDcOZ5CixYsLomyKQIZBHYMTnQVxkq8G14G4KVYktPW7qgfQcvBxzTU+P1sa/tPtc0puXiEHahfh8wNgsIGt+g==
      CollectionLog-2018.10.25-18.02.zip
      HOW_TO_RETURN_FILES.txt
    • m.tym
      Зашифровали файлы на сервере 2012 r2
      Автор m.tym
      Здравствуйте. Зашифровали файлы на сервере 2012 R2. 
      Самое важное это база 1C)
       
      Открывается вот это сообщение.
       
      Decrypting your files is easy. Take a deep breath and follow the steps below. 
      1 ) Make the proper payment.  Payments are made in Monero. This is a crypto-currency, like bitcoin. You can buy Monero, and send it, from the same places you can any other crypto-currency. If you're still unsure, google 'monero exchange'.    Sign up at one of these exchange sites and send the payment to the address below.   Payment Address (Monero Wallet):    45eRCyNYwcs15xGKL6Y6xg88BccgLd3z6M6XRKmhnMi3REVHzgBPk1nHUn3jQ2S2f6XwC6jzQcH2SjM81jCNYKtMQvGvcbi   2 ) Farther you should send your ip address to email address sqqsdr01@keemail.me Then you will receive all necessary key.    Prices : Days : Monero : Offer Expires  0-2  : 500$  :  10/25/18  3-6  : 1000$ : 10/29/18   Note: In 7 days your password decryption key gets permanently deleted.  You then have no way to ever retrieve your files. So pay now.         Файлы FRST и Addition прикрепляю.
×
×
  • Создать...