Перейти к содержанию

Рекомендуемые сообщения

Сегодня ночью (в 2:33 МСК+2) на бухгалтерском сервере были зашифрованы файлы. Базы 1С скорее всего не пострадали (восстановились), однако многие пользовательские файлы остались зашифрованы. Подключение к серверу происходит по RDP, причем в логах было видно, что под бухгалтером зашли аккурат перед шифрованием. Так же отмечалась повышенная активность при сканировании внешних портов на нашем IP. Номер порта при пробросе меняем каждую неделю, произвели настройку RouterOS, но результат такой какой есть. Попробовали связаться со злоумышленниками, с адреса leeabror@gmail.com пришло письмо следующего содержания:

 

"Для оплаты вам необходимо совершить обмен рублей на биткоины
для этого заходите на специальный обменник(их много, воспользоваться можно любым удобным)
например: https://mine.exchange/?rid=17&cur_from=SBERRUB&cur_to=BTC
или https://ob-men.com/exchange-SBERRUB-to-BTC/ https://cashbank.pro/?rid=840
На главной странице везде 2 столбика : ОТДАЕТЕ и ПОЛУЧАЕТЕ
в столбике ОТДАЕТЕ выбираете свой банк или название кошелька , например КИВИ
в столбике получаете выбираете Bitcoin BTC
далее следуете указанием на обменнике: указываете сумму в рублях, обменник сам конвертирует ее в биткоины, указываете  кошелек биткоина : 332ChhpokXXpEpwK2sbRG6gEnyxojyyRBQ
заполняете все графы и формируете заявку , номер заявки необходимо отправить оператору онлайн (справа на сайте внизу окно)
оператор предоставляет вам данные карты куда совершается перевод и вы заходите в свой банк онлайн и совершаете оплату. Потом пишете, что оплату совершили оператору. Перевод занимает 20-30 минут. Напишите мне, что оплатили. Как деньги зачислятся, я вышлю программу дешифратор."

 

с предложением оплатить 50 000 рублей. Насколько понимаю, расшифровать файлы не получится...

Addition.txt Documents.zip FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

 

Порты открывали самостоятельно?

Цитата

FirewallRules: [{55D9F675-EDE2-49BB-8D68-7CC79A14D101}] => (Allow) LPort=1688
FirewallRules: [{1B9EA2E0-DA6C-415B-90C5-A430D601EF83}] => (Allow) LPort=8802
FirewallRules: [{8B9A9011-C197-41BB-BB61-ED156F76A675}] => (Allow) LPort=443
FirewallRules: [{31C437B9-23E0-4A57-9144-BF8BC2DE053F}] => (Allow) LPort=443
FirewallRules: [{098CC86B-B1E5-4A60-931C-628F98D5744E}] => (Allow) LPort=443
FirewallRules: [{FDD7818F-24B2-4C45-B5DD-59700099E7EB}] => (Allow) LPort=443
FirewallRules: [{B60D9D14-87CC-4B60-B0E5-1F5EED7BCCCD}] => (Allow) LPort=443
FirewallRules: [{49713A4B-01A1-449A-8846-0A7A325853BD}] => (Allow) LPort=443
FirewallRules: [{B9FB05C6-F598-4DD1-9763-36A5D85E52B7}] => (Allow) LPort=8501
FirewallRules: [{F151DA13-3323-433C-8A16-3982FE3FFB7A}] => (Allow) LPort=8501


 

Ссылка на сообщение
Поделиться на другие сайты

Добрый день, открывали только 8802 на микротике, для удаленного доступа бухгалтера к рабочей машине, но не к серверу. Ее машина тоже пострадала, причем вплоть до синего экрана.

Ссылка на сообщение
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    HKU\S-1-5-21-3174095181-1406334129-3656909931-500\...\MountPoints2: {eefa1476-5e83-11e3-9124-806e6f6e6963} - D:\AUTORUN.EXE
    Toolbar: HKU\S-1-5-21-3174095181-1406334129-3656909931-500 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} -  No File
    Toolbar: HKU\S-1-5-21-3820103813-2538463676-3415109843-1113 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} -  No File
    2020-07-29 03:05 - 2020-07-29 03:05 - 000005916 _____ C:\Users\findir\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-07-29 03:04 - 2020-07-29 03:04 - 000005916 _____ C:\Users\Все пользователи\how_to_decrypt.hta
    2020-07-29 03:04 - 2020-07-29 03:04 - 000005916 _____ C:\ProgramData\how_to_decrypt.hta
    2020-07-29 03:01 - 2020-07-29 03:01 - 000005916 _____ C:\Users\Администратор\Downloads\how_to_decrypt.hta
    2020-07-29 03:00 - 2020-07-29 03:00 - 000005916 _____ C:\Users\Все пользователи\Documents\how_to_decrypt.hta
    2020-07-29 03:00 - 2020-07-29 03:00 - 000005916 _____ C:\Users\Public\how_to_decrypt.hta
    2020-07-29 03:00 - 2020-07-29 03:00 - 000005916 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2020-07-29 03:00 - 2020-07-29 03:00 - 000005916 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2020-07-29 03:00 - 2020-07-29 03:00 - 000005916 _____ C:\Users\findir\how_to_decrypt.hta
    2020-07-29 03:00 - 2020-07-29 03:00 - 000005916 _____ C:\Users\findir\Downloads\how_to_decrypt.hta
    2020-07-29 03:00 - 2020-07-29 03:00 - 000005916 _____ C:\Users\findir\Desktop\how_to_decrypt.hta
    2020-07-29 03:00 - 2020-07-29 03:00 - 000005916 _____ C:\Users\findir\AppData\Roaming\how_to_decrypt.hta
    2020-07-29 03:00 - 2020-07-29 03:00 - 000005916 _____ C:\Users\findir\AppData\LocalLow\how_to_decrypt.hta
    2020-07-29 03:00 - 2020-07-29 03:00 - 000005916 _____ C:\Users\findir\AppData\Local\Temp\how_to_decrypt.hta
    2020-07-29 03:00 - 2020-07-29 03:00 - 000005916 _____ C:\Users\findir\AppData\how_to_decrypt.hta
    2020-07-29 03:00 - 2020-07-29 03:00 - 000005916 _____ C:\ProgramData\Documents\how_to_decrypt.hta
    FirewallRules: [{55D9F675-EDE2-49BB-8D68-7CC79A14D101}] => (Allow) LPort=1688
    FirewallRules: [{8B9A9011-C197-41BB-BB61-ED156F76A675}] => (Allow) LPort=443
    FirewallRules: [{31C437B9-23E0-4A57-9144-BF8BC2DE053F}] => (Allow) LPort=443
    FirewallRules: [{098CC86B-B1E5-4A60-931C-628F98D5744E}] => (Allow) LPort=443
    FirewallRules: [{FDD7818F-24B2-4C45-B5DD-59700099E7EB}] => (Allow) LPort=443
    FirewallRules: [{B60D9D14-87CC-4B60-B0E5-1F5EED7BCCCD}] => (Allow) LPort=443
    FirewallRules: [{49713A4B-01A1-449A-8846-0A7A325853BD}] => (Allow) LPort=443
    FirewallRules: [{B9FB05C6-F598-4DD1-9763-36A5D85E52B7}] => (Allow) LPort=8501
    FirewallRules: [{F151DA13-3323-433C-8A16-3982FE3FFB7A}] => (Allow) LPort=8501
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на сообщение
Поделиться на другие сайты

Fixlog.txt

 

Спасибо! Обнаружилась только одна уязвимость в MXML, патч установили. Но при этом, в центре обновления дата последних обновлений 16 мая и при проверке новые обновления не обнаруживаются, хотя однозначно должны быть. 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Stepan1992
      От Stepan1992
      Добрый день! Попался как то я на вирус шифровальщика в 2020 году, с тех пор ОС не переустановливал, но файлы остались хотелось расшифровать если это возможно и никак не мог найти решение и вот пишу сюда чтоб кто то помог если это возможно.
      Во вложении файлы логи с Farbar Recovery Scan Tool и примеры файдов расшифровки  файлы с требованием к сожалению были сразу удалены
      FRST64.zip Duplicate File Remover v3.5.1287 Build 34 Final Eng_Rus.rar
    • davidbayra
      От davidbayra
      Здравствуйте примерно в это-же время у меня случилось та же проблема, на win7 зашифровались все файлы этим же шифровальщиком(fairexchange@qq.com), я тоже отложил диск до лучших времен и вот сейчас увидел это сообщение на форуме я обрадовался. Подскажите как мне расшифровать данные? Приложил пример зашифрованного файла. Спасибо!
      Документы №20933363040.Pdf[fairexchange@qq.com].zip
       
      Сообщение от модератора thyrex Перенесено из темы https://forum.kasperskyclub.ru/topic/424464-rasshifrovano-shifrovalshhik-fairexchangeqqcom/  
    • vangeraman
      От vangeraman
      Всем привет) надеюсь всё верно оформил)
      В далёком 21 году на почту пришло письмо, которое открыли, все файлы на харде зашифровались, на тот момент решения не было, отложили винт. Сейчас как понял есть возможность расшифровки.
      Стояла win 7 x64 на тот момент, сейчас её нет, расшифровывать буду (если будет конечно возможность) на win 10 x64.
      Прикрепляю 2 архива, в одном файлы зашифрованные, во втором how_to_decrypt (пароль к обоим "infected" без кавычек).
       
      Прошу помощи в расшифровке.
      how_to_decrypt.zip Диана.zip
    • Shk
      От Shk
      Здравствуйте! Поймали эту гадость вероятнее всего через RDP. Зашифровала все до чего дотянулась.
      Диск с файлами вытащили, систему переставили. Подскажите пожалуйста, можно их расшифровать ?
      Virus.rar
    • QueenBlack
      От QueenBlack
      Доброго дня.
      Пришла беда, прошу помощи.
       
         var start_date = new Date('May 26 2023 23:52:20');
          var discount_date = new Date('May 28 2023 23:52:20');
          var end_date = new Date('May 31 2023 23:52:20');
          var main_contact = '@rudecrypt';
          var second_contact = 'telegramID@rudecrypt';
          var hid = '[6243493E-BBF995AE]';
          var telegram_link = 'https://telegram.org/';
       
      Addition.txt FRST.txt crypt.7z how_to_decrypt.7z
×
×
  • Создать...