Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте. 10.10.2019 случилась беда, 4 сервера и пару пк были взломаны, и все файлы зашифрованы. файлы имеют вид: "3a1wGcQyBjW9Xt5BpNoHe5b4PF0V5k.gold" Также было зашифровано 2 внешних хранилища куда производились бекапы. на одном медленном хранилище удалили все и просто заполнили пока не кончилось место файлами вида я.txt, я1.txt и так пока не кончилось место... Следов самого шифровальщика не обнаружено, KVRT и Dr.Web CureIt! ничего не нашли.

При заражении на всех серверах работал Kaspersky Endpoint Security под политикой и свежими обновлениями. на 2х компьютерах стоял microsoft security essentials тоже регулярно обновляющийся, на все сервера и 2 пк был доступ из вне через RDP, и по сети, прикладываю фаилы после проверки 1 пк.

 

Прошу помочь с расшифровкой, если есть такая возможность....

 

Письмо от злоумышленников так же приложил.

 

Заранее спасибо!

CollectionLog-2019.10.11-22.23.zip

Инструкция по расшифровке файлов.TXT

Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Опубликовано

C:\Users\VSU\Desktop\YqhR2iT=TFCUJoLXLZC+TszW.gold прикрепите в архиве к следующему сообщению.

 

Скорее всего у Вас шифровальщик Scarab и шансов нет на расшифровку.

Пароль от RDP смените на более сложный.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
Task: {1A3AEFDF-55D6-4540-A22D-CDE4BA6750F7} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
Task: {2BD05BA6-988D-4BD3-A9CD-9A39F80AF524} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> No File <==== ATTENTION
Task: {5B184694-64C3-4633-94C5-945B3FA561D6} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> No File <==== ATTENTION
Task: {9F54B95F-5096-4803-AE61-E9B3AC5B616D} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector -> No File <==== ATTENTION
Task: {A8B8BCA5-88D1-419D-B416-913B6B654284} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
Task: {D21F6024-191F-4454-BBBC-09A650DA2549} - \Microsoft\Windows\Application Experience\AitAgent -> No File <==== ATTENTION
2019-10-10 04:17 - 2019-10-10 04:34 - 000003331 _____ C:\Users\VSU\Documents\Инструкция по расшифровке файлов.TXT
2019-10-10 04:17 - 2019-10-10 04:17 - 000003333 _____ C:\Users\VSU\Downloads\Инструкция по расшифровке файлов.TXT
2019-10-10 04:17 - 2019-10-10 04:17 - 000003333 _____ C:\Users\VSU\Documents\Инструкция по расшифровке файлов.TXT.{BF62425B-112F-3683-5BE8-63EB06E56F66}
2019-10-10 04:16 - 2019-10-10 04:16 - 000003333 _____ C:\Users\VSU\Инструкция по расшифровке файлов.TXT
2019-10-10 04:16 - 2019-10-10 04:16 - 000003333 _____ C:\Users\VSU\Desktop\Инструкция по расшифровке файлов.TXT
2019-10-10 04:16 - 2019-10-10 04:16 - 000003333 _____ C:\Users\User\Downloads\Инструкция по расшифровке файлов.TXT
2019-10-10 04:16 - 2019-10-10 04:16 - 000003333 _____ C:\Users\User\Documents\Инструкция по расшифровке файлов.TXT
2019-10-10 04:15 - 2019-10-10 04:15 - 000003333 _____ C:\Users\Инструкция по расшифровке файлов.TXT
2019-10-10 04:15 - 2019-10-10 04:15 - 000003333 _____ C:\Users\Все пользователи\Documents\Инструкция по расшифровке файлов.TXT
2019-10-10 04:15 - 2019-10-10 04:15 - 000003333 _____ C:\Users\User\Инструкция по расшифровке файлов.TXT
2019-10-10 04:15 - 2019-10-10 04:15 - 000003333 _____ C:\Users\User\Desktop\Инструкция по расшифровке файлов.TXT
2019-10-10 04:15 - 2019-10-10 04:15 - 000003333 _____ C:\Users\Public\Инструкция по расшифровке файлов.TXT
2019-10-10 04:15 - 2019-10-10 04:15 - 000003333 _____ C:\Users\Public\Downloads\Инструкция по расшифровке файлов.TXT
2019-10-10 04:15 - 2019-10-10 04:15 - 000003333 _____ C:\Users\Public\Documents\Инструкция по расшифровке файлов.TXT
2019-10-10 04:15 - 2019-10-10 04:15 - 000003333 _____ C:\Users\admin\Инструкция по расшифровке файлов.TXT
2019-10-10 04:15 - 2019-10-10 04:15 - 000003333 _____ C:\Users\admin\Downloads\Инструкция по расшифровке файлов.TXT
2019-10-10 04:15 - 2019-10-10 04:15 - 000003333 _____ C:\Users\admin\Documents\Инструкция по расшифровке файлов.TXT
2019-10-10 04:15 - 2019-10-10 04:15 - 000003333 _____ C:\Users\admin\Desktop\Инструкция по расшифровке файлов.TXT
2019-10-10 04:15 - 2019-10-10 04:15 - 000003333 _____ C:\ProgramData\Documents\Инструкция по расшифровке файлов.TXT
FirewallRules: [TCP Query User{2CD85137-FAC3-4EB1-AE9F-63C9F5EDC421}C:\users\user\appdata\local\microsoft\windows\temporary internet files\content.ie5\w1tprsrf\winbox.exe] => (Allow) C:\users\user\appdata\local\microsoft\windows\temporary internet files\content.ie5\w1tprsrf\winbox.exe No File
FirewallRules: [UDP Query User{44DB6018-6394-4E7D-AF8F-BDE7ACA68F48}C:\users\user\appdata\local\microsoft\windows\temporary internet files\content.ie5\w1tprsrf\winbox.exe] => (Allow) C:\users\user\appdata\local\microsoft\windows\temporary internet files\content.ie5\w1tprsrf\winbox.exe No File
FirewallRules: [TCP Query User{F9762FD3-93D5-467A-9C17-500BF3E79AA3}C:\users\user\desktop\winbox.exe] => (Allow) C:\users\user\desktop\winbox.exe No File
FirewallRules: [UDP Query User{660A7D59-A7FF-4A60-84D4-A0660280C519}C:\users\user\desktop\winbox.exe] => (Allow) C:\users\user\desktop\winbox.exe No File
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Опубликовано

 

 


нашел пару: оригинальный фаил, шифрованный
ничем не поможет. Расшифровки нет, как я и предполагал.
Опубликовано

Как вы решили проблему?


спасибо!

 

стоит ли ожидать в дальнейшем дешифратора ?

Как Вы решили проблему?

Опубликовано

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • kazak89
      Автор kazak89
      Добрый день!
      Прошу прощения, но тот же компьютер снова зашифровали
       
      Прошу помощи
       
       
      CollectionLog-2017.12.13-20.00.zip
      Инструкция по расшифровке.TXT
    • asarus
      Автор asarus
      Здравствуйте!
       
      Имеем сервер  с ОС windows server 2008 + 1С, пользователи подключаются по RDP.
       
      Сегодня на рабочем столе обнаружили файл "Инструкции по расшифровке.txt" (во вложении) с угрозами, что все удалится, если не перевести деньги. Так же было замечено, что многие файлы поменяли разрешение на .scarab (пример файла в архиве прикреплен).
       
      На сервере много нужных баз данных, а последний бекап был сделан на HDD, который в свою очередь был подключен к серверу в момент заражения и вероятнее всего поврежден.
       
      1C на данным момент работает, видимых проблем пока не обнаружено.
       
      Только что скачан Kaspersky Virus Removal Tool. Он обнаружил 2 опасности и нейтрализовал их (скрины во вложении).
       
      Логи приложил.
       
      Осталась ли какая то опасность в системе ? Будет ли система дальше исправно работать? Возможно ли как-то расшифровать файлы с разрешение .scarab?
       
      На всех ПК подключаемых в серверу стоит KIS проблем и похожих симптомов у них нет. На сервере же по убеждению программистов 1с антивирус не требовался и замедлял бы работу. Руководствуясь этими доводами антивирусное ПО на сервер не ставилось.
       
      Спасибо.
       




      virusinfo_syscheck.zip
      Инструкция по расшифровке.TXT
      Настройка сертификата для 1C.doc.zip
    • Leoni_d
      Автор Leoni_d
      День добрый,
       
      зашифровались файлы , понимаю что вернуть бесполезно , но хотелось ты избавится от заразы
       
    • kirill2323
      Автор kirill2323
      День добрый.
      В продолжение https://forum.kasperskyclub.ru/index.php?showtopic=57739
      Нашел таки я компьютер зараженный. Тему перенесенную в беседку удалите пожалуйста.
      Вобщем .scarab зашифровал раб стол и документы полностью. Проверил куреит'ом. 8 файлов обезврежено.
       
       
      CollectionLog-2017.11.24-10.22.zip
    • Pavel Seregin
      Автор Pavel Seregin
      Здравствуйте, поймали вирус-шифровальщик, зашифровал машину примерно 80%, но человек выключил пк резко из розетки, удалось поймать несколько файлов а именно файл который привел к заражению, так же файл который по предположению шифровал файлы, лог собранный программой прилагаю

      Добавляю файлы от программы  Farbar Recovery Scan Tool
      CollectionLog-2017.11.23-19.11.zip
      Addition.txt
      FRST.txt
      Shortcut.txt
×
×
  • Создать...