crusis.to Поймал шифровальщика ..id.[r3ad4@aol.com].r3f5s

[OxoTHuk]

Добрый день!

 

тело шифровальщика в файле body.zip, расширение изменено на .virus

пароль от архива 12345

также приложены логи скрипта AVZ и FRST64

 

На сервер 2008 r2 поймал шифровальщика [r3ad4@aol.com].r3f5s

 

Утром обнаружил, что сервер не пускает по RDP, жалуется на логин/пароль всех уз. Выключил сервер. 

Позже, попав на сервер (способом с загрузкой с установочной флэшки/восстановление/командная строка/подмена utilman на cmd в system32), обнаружил 5 окон на рабочем столе с информацией о том, что файлы зашифрованы.

Поубирал подзрительные процессы winhost.exe из автозагрузки, перезагрузил систему.

 

файлы зашифрованы,  

в корне дисков файлы с информацией:

 

all your data has been locked us
You want to return?
write email r3ad4@aol.com or r3ad4@cock.li

 

рядом с winhost.exe во всех каталогах его нахождения присутствовал файл Info.hta, в котором:

 

YOUR FILES ARE ENCRYPTED

Don't worry,you can return all your files!</span></div>

If you want to restore them, follow this link: r3ad4@aol.com

YOUR ID 6E3F0584

 

If you have not been answered via the link within 12 hours, write to us by e-mail: r3ad4@cock.li

Attention!

Do not rename encrypted files.

Do not try to decrypt your data using third party software, it may cause permanent data loss.

Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

 

 

CollectionLog-2020.06.10-17.59.zip body.zip FRST.txt Addition.txt

[OxoTHuk]

Прикладываю пару примеров зашифрованных файлов

Протокол допуска на сделку - Зоткин - ПО Аббасов.doc Протокол допуска на сделку - Зоткин - ПО Аббасов.doc.id-6E3F0584.[r3ad4@aol.com].r3f5s ELAM2655.JPG.id-6E3F0584.[r3ad4@aol.com].r3f5s

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
   

   CreateRestorePoint:
   Startup: C:\Users\buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-05-28] () [File not signed]
   Startup: C:\Users\buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\payload.exe.id-6E3F0584.[r3ad4@aol.com].r3f5s [2020-06-10] () [File not signed]
   2020-06-10 14:01 - 2020-06-10 14:01 - 000094970 _____ C:\Users\buh\AppData\Roaming\payload.exe.id-6E3F0584.[r3ad4@aol.com].r3f5s
   2020-06-10 14:01 - 2020-06-10 14:01 - 000094720 _____ C:\Users\miard_admin\AppData\Roaming\Winhost.exe.virus
   
   2020-06-10 00:59 - 2020-06-10 14:01 - 000007201 _____ C:\Users\miard_admin\AppData\Roaming\Info.hta.virus
   
   2020-06-10 00:59 - 2020-06-10 00:59 - 000007201 _____ C:\Windows\system32\Info.hta
   
   2020-05-28 12:49 - 2020-05-28 12:49 - 000007225 _____ C:\Users\buh\AppData\Roaming\Info.hta
   
   2020-06-10 00:59 - 2020-06-10 14:01 - 000007201 _____ () C:\Users\miard_admin\AppData\Roaming\Info.hta.virus
   2020-06-10 14:01 - 2020-06-10 14:01 - 000094720 _____ () C:\Users\miard_admin\AppData\Roaming\Winhost.exe.virus
   
   MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Info.hta => C:\Windows\pss\Info.hta.CommonStartup
   MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Winhost.exe => C:\Windows\pss\Winhost.exe.CommonStartup
   MSCONFIG\startupfolder: C:^Users^miard_admin^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Info.hta => C:\Windows\pss\Info.hta.Startup
   MSCONFIG\startupfolder: C:^Users^miard_admin^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Winhost.exe => C:\Windows\pss\Winhost.exe.Startup
   MSCONFIG\startupreg: ? => 
   MSCONFIG\startupreg: Winhost.exe => C:\Windows\System32\Winhost.exe
   

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
   

[OxoTHuk]

Прикладываю fixlog

Fixlog.txt

[mike 1]

11.06.2020 в 05:04, OxoTHuk сказал:

Прикладываю fixlog

Fixlog.txt 3 kB · 0 загрузок

Смените все пароли. Пишите запрос 

 

[Soft]

Сообщение от модератора Soft

Часть сообщений перенесены в беседку.

 

[MechanikusT]

Добрый вечер, подскажите пожалуйста. У меня идентичная проблема как товарща OxoTHuk. На данный момент не являюсь пользователем продуктов Лаборатории Касперского, вы сможете мне помочь если я куплю антивирус? 

Изменено 14 июня, 2020 пользователем MechanikusT

[mike 1]

7 минут назад, MechanikusT сказал:

Добрый вечер, подскажите пожалуйста. У меня идентичная проблема как товарща OxoTHuk. На данный момент не являюсь пользователем продуктов Лаборатории Касперского, вы сможете мне помочь если я куплю антивирус? 

В очистке компьютера от вредоносного ПО поможем. С расшифровкой на форуме не поможем. Если решитесь создать запрос в техподдержку, то сперва прочитайте FAQ. Если требуется лечение, создайте свою тему.