Перейти к содержанию

Вирус зашифровал файлы с расширением .crypton

Apo Ucoz
 Поделиться

Рекомендуемые сообщения

Apo Ucoz

Apo Ucoz

Опубликовано
Опубликовано

Добрый день. Вчера был взломан один из наших серверов и все важные файлы на нём были зашифрованы... Просим помочь расшифровать файлы. Там у нас всё, что необходимо для работы фирмы. Пожалуйста, не откажите в помощи!

 

В прикреплении логи + образец зашированного файла + текст вымогателя. Заранее огромное вам спасибо за любую помощь!


Прикрепляю логи с Farbar Recovery Scan Tool

CollectionLog-2019.04.22-15.21.zip

DECRIPT_FILES.zip

Addition.txt

FRST.txt

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Расшифровки этого типа вымогателя нет, увы.

 

Смените пароль на RDP. Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Apo Ucoz

Apo Ucoz

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Расшифровки этого типа вымогателя нет, увы.

 

Смените пароль на RDP. Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

 

Уязвимости не обнаружены... То есть мы можем попрощаться со своим сервером? Что, если заплатить вымогателю? 

И да, вот ещё что: подскажите название этого вируса и существует ли защита от подобного вида вирусов для Windows Server 2008 R2 и Windows Server 2012? Спасибо!

Apo Ucoz

Apo Ucoz

Опубликовано
  • Автор
Опубликовано

В общем, заплатили деньги. Выслали дешифратор и инструкции, как закрыть уязвимости системы. Дешифратор работает, ключом шифровки и списком утилит, которыми шифровали, тоже обладаем. Рад, что хоть не обманули и охотно поддерживали диалог, а ведь могли тупо кинуть...

Sandor

Sandor

Опубликовано
Опубликовано

инструкции, как закрыть уязвимости системы

И как же?
Apo Ucoz

Apo Ucoz

Опубликовано
  • Автор
Опубликовано

 

инструкции, как закрыть уязвимости системы

И как же?
Вот выдержка из письма:

 

!!!Be sure to fix it!!!

 

Delete the administration of the 1C server from the external network, port: 1540! Delete all test databases from the 1C server! Hide all 1c users so that they enter their logins manually and set very complex passwords. Replace the service account with an account without administrator rights!

Configure the security profile on the 1C server. Set the Server Administrator 1C

 

https://its.1c.ru/db/metod8dev/content/5816/hdoc

  • Улыбнуло 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Lesnik888
      data-centr@tech-center.com требуют денег
      Автор Lesnik888
      Добрый день,Евгений! У знакомых сломали компьютер,оставили только вот такое сообщение-
      "Здравствуйте.
      В течении продолжительного времени с Вашим сервером была проведена большая работа по перемещению всех доступных данных в расширенное
      облачное хранилище. В случае если данные представляют для Вас ценность просьба дать нам о этом знать написав на data-centr@tech-center.com
      в сообщении указав 3719595
      В случае своевременного обращения гарантируем полный возврат данных."
       
      Пробуем восстановить данные.Не сталкивались ли вы с такими?Как можно им защитится в будущем от подобного?
      С уважением,Александр.
       

      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Задай вопрос Евгению Касперскому!"
    • pavuk-rv
      Файлы зашифрованы Trojan.Encoder.7223
      Автор pavuk-rv
      Здравствуйте!
      Зашифрованы файлы, Др.ВЕБ сделали заключение: 
       
      Есть ли у Вашей лаборатории возможность расшифровать файлы?
      Файлы протоколов прикрепляю.
      CollectionLog-2017.04.12-17.36.zip
      report2.log
      AutoLogger.zip
    • andrew0352
      Вирус шифровальщик *.decryptallfiles3@india
      Автор andrew0352
      Доброго времени суток. Подцепил вирус шифровальщик , все файлы стали с расширением " *.decryptallfiles3@india" и при запуске системы открывается окно с просьбой сообщить свой ID  на эл.почту "decryptallfiles3@india.com" (присвоился из файла "Read Me Please" который находится в каждой папке. Пробовал разные утилиты для расшифровки но ни что не помогло.

      1-я часть файла не шифрованный

      2-я часть файла не шифрованный

      1-я часть файла шифрованный

      2-я часть файла шифрованный
      CollectionLog-2017.03.08-14.54.zip
      foto-good.part1.rar
      foto-good.part2.rar
      pa-MZ3HLDO39cWbp.decryptallfiles3@india.part1.rar
      pa-MZ3HLDO39cWbp.decryptallfiles3@india.part2.rar
    • noname61
      Помогите с шифровальщиком
      Автор noname61
      Клиенты поймали шифровальщик, после зашифровки появился файл на диске D с ключем и ссылкой на сай для покупки дешифратора, покупка тоже не привела к успеху, деньги ушли в неизвестность. Прошу помощи по данному вирусу. Прилагаю файл вируса, ключ с ссылкой, а так же 2 файла (зашифрованный и дешифрованный)
    • Viktor3954135
      Случайно запустил из почты скрипт
      Автор Viktor3954135
      Пришло письмо якобы Сбербанк выставил счет, пытался открыть только потом дошло что это скрипт...

      Что он мог натворить и как избавиться???
       
      AVZ зависает при начале прямого чтения много багов...
       
      Помогите исправить....
       
      прикрепил логи AVZ и тот скрипт что приехал...
       
       
      Заранее спасибо...
×
×
  • Создать...