vsu 0 Опубликовано 11 октября, 2019 Share Опубликовано 11 октября, 2019 Здравствуйте. 10.10.2019 случилась беда, 4 сервера и пару пк были взломаны, и все файлы зашифрованы. файлы имеют вид: "3a1wGcQyBjW9Xt5BpNoHe5b4PF0V5k.gold" Также было зашифровано 2 внешних хранилища куда производились бекапы. на одном медленном хранилище удалили все и просто заполнили пока не кончилось место файлами вида я.txt, я1.txt и так пока не кончилось место... Следов самого шифровальщика не обнаружено, KVRT и Dr.Web CureIt! ничего не нашли. При заражении на всех серверах работал Kaspersky Endpoint Security под политикой и свежими обновлениями. на 2х компьютерах стоял microsoft security essentials тоже регулярно обновляющийся, на все сервера и 2 пк был доступ из вне через RDP, и по сети, прикладываю фаилы после проверки 1 пк. Прошу помочь с расшифровкой, если есть такая возможность.... Письмо от злоумышленников так же приложил. Заранее спасибо! CollectionLog-2019.10.11-22.23.zip Инструкция по расшифровке файлов.TXT Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 11 октября, 2019 Share Опубликовано 11 октября, 2019 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
vsu 0 Опубликовано 11 октября, 2019 Автор Share Опубликовано 11 октября, 2019 готово, могу предоставить доступ по rdp или другому по, на этот компьютер FRST.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 11 октября, 2019 Share Опубликовано 11 октября, 2019 C:\Users\VSU\Desktop\YqhR2iT=TFCUJoLXLZC+TszW.gold прикрепите в архиве к следующему сообщению. Скорее всего у Вас шифровальщик Scarab и шансов нет на расшифровку. Пароль от RDP смените на более сложный. 1. Выделите следующий код: Start:: CreateRestorePoint: Task: {1A3AEFDF-55D6-4540-A22D-CDE4BA6750F7} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION Task: {2BD05BA6-988D-4BD3-A9CD-9A39F80AF524} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> No File <==== ATTENTION Task: {5B184694-64C3-4633-94C5-945B3FA561D6} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> No File <==== ATTENTION Task: {9F54B95F-5096-4803-AE61-E9B3AC5B616D} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector -> No File <==== ATTENTION Task: {A8B8BCA5-88D1-419D-B416-913B6B654284} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION Task: {D21F6024-191F-4454-BBBC-09A650DA2549} - \Microsoft\Windows\Application Experience\AitAgent -> No File <==== ATTENTION 2019-10-10 04:17 - 2019-10-10 04:34 - 000003331 _____ C:\Users\VSU\Documents\Инструкция по расшифровке файлов.TXT 2019-10-10 04:17 - 2019-10-10 04:17 - 000003333 _____ C:\Users\VSU\Downloads\Инструкция по расшифровке файлов.TXT 2019-10-10 04:17 - 2019-10-10 04:17 - 000003333 _____ C:\Users\VSU\Documents\Инструкция по расшифровке файлов.TXT.{BF62425B-112F-3683-5BE8-63EB06E56F66} 2019-10-10 04:16 - 2019-10-10 04:16 - 000003333 _____ C:\Users\VSU\Инструкция по расшифровке файлов.TXT 2019-10-10 04:16 - 2019-10-10 04:16 - 000003333 _____ C:\Users\VSU\Desktop\Инструкция по расшифровке файлов.TXT 2019-10-10 04:16 - 2019-10-10 04:16 - 000003333 _____ C:\Users\User\Downloads\Инструкция по расшифровке файлов.TXT 2019-10-10 04:16 - 2019-10-10 04:16 - 000003333 _____ C:\Users\User\Documents\Инструкция по расшифровке файлов.TXT 2019-10-10 04:15 - 2019-10-10 04:15 - 000003333 _____ C:\Users\Инструкция по расшифровке файлов.TXT 2019-10-10 04:15 - 2019-10-10 04:15 - 000003333 _____ C:\Users\Все пользователи\Documents\Инструкция по расшифровке файлов.TXT 2019-10-10 04:15 - 2019-10-10 04:15 - 000003333 _____ C:\Users\User\Инструкция по расшифровке файлов.TXT 2019-10-10 04:15 - 2019-10-10 04:15 - 000003333 _____ C:\Users\User\Desktop\Инструкция по расшифровке файлов.TXT 2019-10-10 04:15 - 2019-10-10 04:15 - 000003333 _____ C:\Users\Public\Инструкция по расшифровке файлов.TXT 2019-10-10 04:15 - 2019-10-10 04:15 - 000003333 _____ C:\Users\Public\Downloads\Инструкция по расшифровке файлов.TXT 2019-10-10 04:15 - 2019-10-10 04:15 - 000003333 _____ C:\Users\Public\Documents\Инструкция по расшифровке файлов.TXT 2019-10-10 04:15 - 2019-10-10 04:15 - 000003333 _____ C:\Users\admin\Инструкция по расшифровке файлов.TXT 2019-10-10 04:15 - 2019-10-10 04:15 - 000003333 _____ C:\Users\admin\Downloads\Инструкция по расшифровке файлов.TXT 2019-10-10 04:15 - 2019-10-10 04:15 - 000003333 _____ C:\Users\admin\Documents\Инструкция по расшифровке файлов.TXT 2019-10-10 04:15 - 2019-10-10 04:15 - 000003333 _____ C:\Users\admin\Desktop\Инструкция по расшифровке файлов.TXT 2019-10-10 04:15 - 2019-10-10 04:15 - 000003333 _____ C:\ProgramData\Documents\Инструкция по расшифровке файлов.TXT FirewallRules: [TCP Query User{2CD85137-FAC3-4EB1-AE9F-63C9F5EDC421}C:\users\user\appdata\local\microsoft\windows\temporary internet files\content.ie5\w1tprsrf\winbox.exe] => (Allow) C:\users\user\appdata\local\microsoft\windows\temporary internet files\content.ie5\w1tprsrf\winbox.exe No File FirewallRules: [UDP Query User{44DB6018-6394-4E7D-AF8F-BDE7ACA68F48}C:\users\user\appdata\local\microsoft\windows\temporary internet files\content.ie5\w1tprsrf\winbox.exe] => (Allow) C:\users\user\appdata\local\microsoft\windows\temporary internet files\content.ie5\w1tprsrf\winbox.exe No File FirewallRules: [TCP Query User{F9762FD3-93D5-467A-9C17-500BF3E79AA3}C:\users\user\desktop\winbox.exe] => (Allow) C:\users\user\desktop\winbox.exe No File FirewallRules: [UDP Query User{660A7D59-A7FF-4A60-84D4-A0660280C519}C:\users\user\desktop\winbox.exe] => (Allow) C:\users\user\desktop\winbox.exe No File Reboot: End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. Ссылка на сообщение Поделиться на другие сайты
vsu 0 Опубликовано 11 октября, 2019 Автор Share Опубликовано 11 октября, 2019 готово есть смысл это же проделывать на других пк? это вам даст какую-то доп информацию ? Fixlog.txt YqhR2iT=TFCUJoLXLZC+TszW.zip Ссылка на сообщение Поделиться на другие сайты
vsu 0 Опубликовано 12 октября, 2019 Автор Share Опубликовано 12 октября, 2019 нашел пару: оригинальный фаил, шифрованный, и письмо с кодом и требованием. приложил в архиве. целый и шифрованный фаил с письмом.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 12 октября, 2019 Share Опубликовано 12 октября, 2019 нашел пару: оригинальный фаил, шифрованный ничем не поможет. Расшифровки нет, как я и предполагал. Ссылка на сообщение Поделиться на другие сайты
vsu 0 Опубликовано 12 октября, 2019 Автор Share Опубликовано 12 октября, 2019 стоит ли ожидать в дальнейшем дешифратора ? Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 12 октября, 2019 Share Опубликовано 12 октября, 2019 Маловероятно. Ссылка на сообщение Поделиться на другие сайты
vsu 0 Опубликовано 12 октября, 2019 Автор Share Опубликовано 12 октября, 2019 спасибо! Ссылка на сообщение Поделиться на другие сайты
BT1 0 Опубликовано 15 октября, 2019 Share Опубликовано 15 октября, 2019 Как вы решили проблему? спасибо! стоит ли ожидать в дальнейшем дешифратора ? Как Вы решили проблему? Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 15 октября, 2019 Share Опубликовано 15 октября, 2019 Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского". Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения