Вирус-шифровальщик в домене.

[Барулев Сергей]

Добрый день!

 

Вирус-шифровальщик зашифровал все файлы на сервере 1С, контроллере домена и рабочих машинах в домене. Остановил MS SQL сервер и зашифровал файлы баз данных. Удалил все log-файлы.

 

Оставил сообщение:

"All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail Smith1@mailfence.com
Write this ID in the title of your message 0AA58CDB
In case of no answer in 24 hours write us to theese e-mails:fun63s@protonmail.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files."

 

Зашифровал даже не значимые файлы типа:

desktop.ini.id-9C15C2BB.[dr.crypt@aol.com].NWA.id-9C15C2BB.[Smith1@mailfence.com].Aim

 

[Барулев Сергей]

Добрый день!

 

Прошу извинить, что не прикрепил логи проверки согласно Порядка оформления запроса о помощи.

Прикрепляю их в этом сообщении.

CollectionLog-2020.08.18-13.00.zip

[mike 1]

Здравствуйте, зашифровано с помощью шифровальщика crysis.

 

Пофиксите следующие строчки в HiJackThis.

 

O4 - HKLM\..\Run: [svchost.exe] = C:\Users\Администратор\AppData\Roaming\svchost.exe  (file missing)
O26 - Debugger: HKLM\..\taskmgr.exe: [Debugger] = Hotkey Disabled (file missing)

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "90 Days Files".
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

[Барулев Сергей]

Добрый день!

 

Большое спасибо за поддержку!

 

Пофиксил указанные строки в HiJackThis.

Выполнил Farbar Recovery Scan Tool. Отчеты прикрепляю к данному сообщению.

Addition.txt FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
   

   CreateRestorePoint:
   HKLM\...\Run: [svchost.exe] => C:\Users\Администратор\AppData\Roaming\svchost.exe <==== ATTENTION
   HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13926 2020-08-16] () [File not signed]
   C:\Users\Администратор\AppData\Roaming\svchost.exe
   

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
   

[Барулев Сергей]

Добрый вечер!

 

Выполнил всё согласно пунктам с 1-го по 3-й. Файл Fixlog.txt прикрепляю к данному сообщению.

Архив, указанный в пункте 4, создан не был.

 

Следует ли мне нажать <OK> после чего произойдёт перезагрузка компьютера, как это сообщает FRST?

Fixlog.txt

 

Добрый день!
 

 

Что ещё необходимо предоставить?

 

[mike 1]

Лицензия на Антивирус Касперского имеется?

[Барулев Сергей]

Михаил, есть лицензия Kaspersky Endpoint Security для бизнеса -- Стандартный Russian Edition. 10­14 Node 1 year Renewal License

 

[mike 1]

Создайте запрос через Kaspersky Company Account 

 

К запросу добавьте несколько зашифрованных файлов и содержимое папки C:\FRST\Quarantine.

[Барулев Сергей]

Добрый день!

 

Без запроса никак?

Админ всё никак не может отправить из ЛК.

[mike 1]

На форуме с расшифровкой не поможем. Впрочем, там тоже шансов мало, но это лучше чем ничего.  

[Барулев Сергей]

Прикрепил, номер запроса INC000011827948

[Барулев Сергей]

Добрый день!
Есть новости?

 

ещё вопрос

 

1. товарищи шифровальщики ранее отвечали на почту

fun63s@protonmail.com / smith1@mailfence.com

 

но сегодня перестали :

    rejected: Address does not exist

 

получается больше с ними никак не связаться ?

 

 

2. https://www.pcrisk.pt/guias-de-remocao/10061-aim-ransomwarehttps://www.pcrisk.pt/guias-de-remocao/10061-aim-ransomware

 

вот это всё ерунда же ?

[mike 1]

Добрый день, я в ЛК не работаю и не могу отслеживать состояние вашего запроса. Можете попробовать уточнить состояние запроса по горячей линии для корпоративных пользователей. 

[Барулев Сергей]

Не платите этим упырям-мошенникам

 

По почте люди договорились, что за $1100 они расшифруют 2 ID

перевели им деньги, они прислали сканер (могу его выложить)

запустили на 2х компах, сканер нашёл 5 ID (видимо из-за сетевых папок) и теперь они ещё хотят $1100 за все 5 ID

 

их координаты

smith265@protonmail.com

telegram id: @smith39k

https://www.blockchain.com/btc/address/3BJwZ6DDFz8tFTMQiaagpeULscDyARwRtt