Шифровальщик GOLD зашифровал все на сервере

[deffix]

Доброго дня! Огромная беда, видимо перебором вирус подобрал пароль к одной из админских учеток сервера на Windows Server Standart, побило все, достало даже далекие бекапы.

Хотят 0.1btc, шифровано более 160Gb.

 

Бесплатно расшифровали два файла, успешно, прикрепил к сообщению.

Лог AVZ прикрепил

 

Текст для разблокировки:

 

Напишите на почту - golden09@cock.li

====================================================================================================

 

ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ! 

 

Ваш личный идентификатор

 

pAQAAAAAAADcqsEbJZTZF0NACAN=Qhnorp5abXn8J=YXlE5Y0VVtNehSZa1nI+zLyfLOgiW+wuqdeJRhVbhffx1gpTtT9pT4rPg1

WxWVeqmP6fTSnd4rR0J7IhLh1DMbr1pqoxq971aKCrtgOsJqkhcwk9plb7+7vi4+WVuE0hDZHLgLoqarrl4fdoRcY7WDWKPvGuQa

GvF5Ni96iJcbyKnT5vvdXdLnVpOv+RipzhoKZL3hk+7eOKho58Cw5xF0ZnuVAHkpUvF20tmMNods0cTni1=TvzdYcZJd2y9qHK=Q

UHvjnyu482FfQAMnJWi0MlBTo2lB6LmKj9+MkRgH4dKJ7yEwZ4M0AISgUL9USjDJMkcnHnzMrNv4unCIkgleeDcIiSaQP+AGqdPK

LA+a5S6V=f0QFhvH4wycX+85ROP98m9mBJtCML0OK7mz2PAZ7bqECKZDSimSPt6UAKQvNxHMSOZuYQJF4VRKbI+5nxKRiwRd9uCO

Jpd5c6EtdIZJKu7E3ENSbxY6SNr4kEmgQikn6qCV77F2ok0rJEJHOC0B1KS3W29JlqF1QIsVWEdAsIvPBIfynyVjYVv+w1U=tbAN

VFDeLRT6EIkT=m+qAjbHtP5+=WT6Z+pdo0=ZJBGK3NOlOyS1RKIYOUN1OxYF7eo2JY84zIRIBwA0Fg=A4SYmHuSGvqMGFDDFWthp

x8X9dNGLEOJkg2ddQGrmTO5QooTgT0TSgIXjBEsb8lKucApX5serKOTiWuW2ZMoZaR0FyXgW5bHtiW9jIlwL5eI1Eg4=vHGNC8as

e2a=rWOw3c6+HNi5SjSe6ICnjuAir7+w2ptAQF8juYSNcVHyAk

 

Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы. 

Каждые 24 часа удаляются 24 файла, необходимо прислать свой идентификатор чтоб мы отключили эту функцию.

Каждые 24 часа стоимость расшифровки данных увеличивается на 30% (через 72 часа сумма фиксируется)

 

Для расшифровки данных:

 

Напишите на почту - golden09@cock.li

 

 *В письме указать Ваш личный идентификатор

 *Прикрепите 2 файла до 1 мб для тестовой расшифровки. 

  мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем их расшифровать.

 

 -Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление файлов.

 -Написав нам на почту вы получите дальнейшие инструкции по оплате.

 

В ответном письме Вы получите программу для расшифровки.

После запуска программы-дешифровщика все Ваши файлы будут восстановлены.

 

Мы гарантируем:

100% успешное восстановление всех ваших файлов

100% гарантию соответствия

100% безопасный и надежный сервис

 

Внимание!

 * Не пытайтесь удалить программу или запускать антивирусные средства

 * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных

 * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя

уникальный ключ шифрования

====================================================================================================

 

Ваш личный идентификатор

 

pAQAAAAAAADcqsEbJZTZF0NACAN=Qhnorp5abXn8J=YXlE5Y0VVtNehSZa1nI+zLyfLOgiW+wuqdeJRhVbhffx1gpTtT9pT4rPg1

WxWVeqmP6fTSnd4rR0J7IhLh1DMbr1pqoxq971aKCrtgOsJqkhcwk9plb7+7vi4+WVuE0hDZHLgLoqarrl4fdoRcY7WDWKPvGuQa

GvF5Ni96iJcbyKnT5vvdXdLnVpOv+RipzhoKZL3hk+7eOKho58Cw5xF0ZnuVAHkpUvF20tmMNods0cTni1=TvzdYcZJd2y9qHK=Q

UHvjnyu482FfQAMnJWi0MlBTo2lB6LmKj9+MkRgH4dKJ7yEwZ4M0AISgUL9USjDJMkcnHnzMrNv4unCIkgleeDcIiSaQP+AGqdPK

LA+a5S6V=f0QFhvH4wycX+85ROP98m9mBJtCML0OK7mz2PAZ7bqECKZDSimSPt6UAKQvNxHMSOZuYQJF4VRKbI+5nxKRiwRd9uCO

Jpd5c6EtdIZJKu7E3ENSbxY6SNr4kEmgQikn6qCV77F2ok0rJEJHOC0B1KS3W29JlqF1QIsVWEdAsIvPBIfynyVjYVv+w1U=tbAN

VFDeLRT6EIkT=m+qAjbHtP5+=WT6Z+pdo0=ZJBGK3NOlOyS1RKIYOUN1OxYF7eo2JY84zIRIBwA0Fg=A4SYmHuSGvqMGFDDFWthp

x8X9dNGLEOJkg2ddQGrmTO5QooTgT0TSgIXjBEsb8lKucApX5serKOTiWuW2ZMoZaR0FyXgW5bHtiW9jIlwL5eI1Eg4=vHGNC8as

e2a=rWOw3c6+HNi5SjSe6ICnjuAir7+w2ptAQF8juYSNcVHyAk

 

 

CollectionLog-2019.11.13-12.43.zip

Счет на оплату № 1630 от 08 июня 2018 г.pdf

Счет на оплату.pdf

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\migration\wtr\ime\imonset.exe');
 TerminateProcessByName('c:\windows\vpnplugins\servicing\ibhost.exe');
 QuarantineFile('c:\windows\migration\wtr\ime\imonset.exe', '');
 QuarantineFile('c:\windows\vpnplugins\servicing\ibhost.exe', '');
 DeleteFile('C:\Users\Admin\Как расшифровать файлы gold.TXT', '32');
 DeleteFile('C:\Users\Admin\Как расшифровать файлы gold.TXT', '64');
 DeleteFile('c:\windows\migration\wtr\ime\imonset.exe', '32');
 DeleteFile('c:\windows\vpnplugins\servicing\ibhost.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'DhBAbOBjFH', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'DhBAbOBjFH', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(9);
end.

Пожалуйста, перезагрузите компьютер вручную.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

 

 

Лицензия на любой из продуктов Касперского имеется?

[deffix]

KLAN-11384967541]

 

Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В антивирусных базах информация по присланным вами файлам отсутствует:

imonset.exe

ibhost.exe

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

Антивирусная Лаборатория, Kaspersky Lab HQ

 

"Ленинградское шоссе 39A/3, Москва, 125212, Russia

Телефон/Факс: + 7 (495) 797 8700

http://www.kaspersky.com https://www.securelist.com"

 

Логи скоро повторю, лицензии нет, но если необходимо - приобретем

[thyrex]

Нужно дочитывать до конца

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog.

Ждем новые логи

[deffix]

OS перестала загружаться после скрипта и перезагрузки. BOOTMGR is missing, пробуем восстановить.Пока запустить возможности нет