Перейти к содержанию

запрос на расшифровку файлов в Лабораторию Касперского


Рекомендуемые сообщения

1 7.07.2021 приблизительно в 04:30: были зашифрованы данные. По каким причинам, пока нет возможности выяснить, ни одна консоль на сервере не запускается.

Сервер WINDOWS 2008R2 С ПОСЛЕДНИМИ ОБНОВОЕНИЯМИ.

Установлен Kasperskiy Small Office Scurity последняя версия с последними обновлениями баз.

Что теперь делать даже и не знаю.

Два Архива, первый virus это сам файл описания что делать от злоумышлиников (опишите может какие-то дополнительные файлы Вам выслать). Второй отчет утилиты сканирования.

 

All Your Files Has Been Encrypted

You Have to Pay to Get Your Files Back

1-Go to C:\ProgramData\ or in Your other Drives   and send us prvkey*.txt.key  file ,  *  might be a number (like this : prvkey3.txt.key) 

2-You can send some file little than 1mb for Decryption test to trust us But the test File should not contain valuable data

3-Payment should be with Bitcoin


4-Changing Windows without saving prvkey.txt.key file will cause permanete Data loss


Our Email:Decryptioncenter2016@gmail.com

in Case of no Answer:Backupcenter2016@gmail.com

 

Подскажите что делать?

 

Ссылка на комментарий
Поделиться на другие сайты

  • thyrex изменил название на запрос на расшифровку файлов в Лабораторию Касперского

К сожалению, расшифровки этой версии вымогателя нет.

 

39 минут назад, Eugen сказал:

Установлен Kasperskiy Small Office Scurity последняя версия с последними обновлениями баз

Вероятно был взлом RDP, ручные остановка антивируса и запуск шифровальщика. Пароль на RDP меняйте.

 

Семь из одиннадцати учетных записей обладают правами администратора. Не много ли?

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    Startup: C:\Users\1C.SERVER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decrypt-info.txt [2021-07-17] () [Файл не подписан]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Decrypt-info.txt [2021-07-17] () [Файл не подписан]
    Startup: C:\Users\Boss\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decrypt-info.txt [2021-07-17] () [Файл не подписан]
    Startup: C:\Users\buh1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decrypt-info.txt [2021-07-17] () [Файл не подписан]
    Startup: C:\Users\GBuh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decrypt-info.txt [2021-07-17] () [Файл не подписан]
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Windows\Tasks\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Windows\SysWOW64\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Public\Downloads\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Public\Documents\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Public\Desktop\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Public\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\Downloads\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\Documents\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\Desktop\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\AppData\Roaming\Microsoft\Windows\Start Menu\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\AppData\Roaming\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\AppData\LocalLow\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\AppData\Local\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\AppData\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\Downloads\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\Documents\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\Desktop\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\AppData\Roaming\Microsoft\Windows\Start Menu\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\AppData\Roaming\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\AppData\LocalLow\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\AppData\Local\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\AppData\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\Downloads\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\Documents\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\Desktop\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\AppData\Roaming\Microsoft\Windows\Start Menu\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\AppData\Roaming\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\AppData\LocalLow\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\AppData\Local\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\AppData\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\Downloads\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\Documents\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\Desktop\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\AppData\Roaming\Microsoft\Windows\Start Menu\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\AppData\Roaming\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\AppData\LocalLow\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\AppData\Local\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\AppData\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Program Files\Common Files\Decrypt-info.txt
    2021-07-17 04:26 - 2021-07-17 04:29 - 000000567 _____ C:\ProgramData\Decrypt-info.txt
    2021-07-17 04:26 - 2021-07-17 04:26 - 000000567 _____ C:\Windows\Decrypt-info.txt
    2021-07-17 04:26 - 2021-07-17 04:26 - 000000567 _____ C:\Users\Decrypt-info.txt
    2021-07-17 04:26 - 2021-07-17 04:26 - 000000567 _____ C:\Program Files\Decrypt-info.txt
    2021-07-17 04:26 - 2021-07-17 04:26 - 000000567 _____ C:\Program Files (x86)\Decrypt-info.txt
    FirewallRules: [{4DF1BD0B-DDD2-4818-8F5E-20116F45A4CE}] => (Allow) LPort=475
    FirewallRules: [{706D32EF-EFB2-4E47-8BB5-D923EF607B2E}] => (Allow) LPort=475
    FirewallRules: [{F55B61D4-64A3-4E6D-A77E-A9ED1BBDEB87}] => (Allow) LPort=1000
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер следует перезагрузить вручную.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

58 минут назад, Sandor сказал:

Пароль на RDP меняйте.

 

Семь из одиннадцати учетных записей обладают правами администратора. Не много ли?

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на комментарий
Поделиться на другие сайты

Будьте бдительны.

Читайте Рекомендации после удаления вредоносного ПО

 

Если вам нужен официальный ответ компании, создайте такой запрос на расшифровку.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • M_X
      Автор M_X
      Здравствуйте. Зашифровали файлы... 
      Скорее всего проникли через RDP...
      Сам шифровальщик не обнаружал....
      Установленный антивирус - не отработал и был также зашифрован (symantec) .. После установил MalWarebytes.
      FRST.txt Addition.txt Desktop.rar
    • MiStr
      Автор MiStr
      Май и июнь традиционно приносят участникам клуба хорошие новости. Во-первых, становится известным место празднования дня рождения клуба. (Спойлер: информация будет совсем скоро!) А, во-вторых, участники клуба получают приглашение на летний корпоратив "Лаборатории Касперского", посвящённый дню рождению компании. Публикуем информацию о том, как туда попасть.
      Когда и где?
      Корпоратив пройдёт в пятницу 4 июля 2025 года в Завидово (Тверская область). 
      Кто может попасть?
      Попасть на мероприятие может участник клуба, который накопил 10 000 клабов (количество накопленных клабов можно посмотреть здесь) или 5 000 баллов (количество накопленных баллов можно посмотреть здесь) и готов обменять их на возможность поучаствовать в праздновании дня рождения "Лаборатории Касперского".
      Как добраться?
      Проезд до Москвы и обратно не оплачивается. Трансфер из Москвы до места проведения мероприятия и обратно будет организован бесплатно. Во время мероприятия предоставляется безлимитная еда, напитки и развлечения. Кроме того, участники клуба смогут бесплатно переночевать с 4 на 5 июля 2025 года — будут представлены двухместные номера с раздельными кроватями.
      Какая программа?
      Программа традиционно насыщенная и крутая, но более детальной информацией и картой развлечений мы поделимся ближе к дате события.
      Когда нужно дать ответ?
      Клубу выделено 9 мест. Отправить заявку на участие в корпоративе необходимо в эту тему не позднее 12 июня 2025 года. В случае большого количества заявок места будут распределены администрацией клуба. Преимущество будет отдано наиболее активным участникам рейтинговой системы.
      Какие данные необходимо предоставить?
      В случае одобрения заявки администрацией клуба необходимо не позднее 15 июня 2025 года отправить письмо на имя @dkhilobok с предоставлением следующей информации: ник на форуме клуба, ФИО (полностью), номер телефона.
      Какие нюансы?
      Клабы за участие в праздновании дня рождения "Лаборатории Касперского" по выбору участника списываются либо с завершённого сезона рейтинговой системы 2024-2025, либо с нового сезона 2025-2026. После списания клабы или баллы не возвращаются. При даче согласия рекомендуем учитывать, что при желании поехать на главное событие лета — день рождения клуба — после списания клабов за участие в корпоративе "Лаборатории Касперского" в рейтинге должно остаться не менее 5 000 клабов.
    • KL FC Bot
      Автор KL FC Bot
      Присутствие в Интернете сегодня неизбежно. Все больше и больше повседневных процессов происходят онлайн, и, если вы не моряк и не лесничий, жить в офлайне теперь — привилегия. По примерным оценкам, каждый из нас генерирует ежечасно от двух до трех гигабайт данных — через смартфоны, IoT-устройства и онлайн-сервисы. При этом 71% тех же американцев обеспокоены сбором информации государством, а 81% — корпорациями. Сегодня мы разберем обычный день современного человека, чтобы понять, где и как мы оставляем цифровые следы привычными действиями и что с этим делать.
      Утренние ритуалы: как следят смартфон и браузер
      Вы встали, узнали погоду на сегодня, полистали рилсы, что-то полайкали, вбили свой маршрут на работу и выяснили, через какие пробки вам придется продираться. С настройкой приватности в соцсетях все очевидно: ее надо подкрутить, чтобы подписанные на вас родители и коллеги не поседели от вашего чувства юмора, и поможет в этом наш сайт Privacy Checker. Сложнее с геопозицией, которую любят собирать все кому не лень. Мы уже подробно рассказывали о том, как смартфоны собирают на вас досье, и о том, кто такие брокеры данных геолокации и что происходит, когда они «протекают».
      Только представьте: около половины популярных Android-приложений запрашивают геолокацию там, где она не нужна. А браузеры Chrome и Safari по умолчанию разрешают кросс-доменное отслеживание cookies, что позволяет рекламным сетям строить детальные профили пользователей под персонализированную рекламу. В ход идет почти вся телеметрия смартфона, позволяющая составлять детальный портрет потребителя без кастдевов и фокус-групп. Лучший маркетолог — у вас в кармане, только вот работает он не на вас. Как быть?
       
      View the full article
    • Равиль.М
      Автор Равиль.М
      Добрый день. Поймали вирус-шифровальщик, поразил весь файловый серв. Все началось после того как подключились через Anydesk. На двух пользовательских компьютерах замещены вирусы после проверки KES. Лог файл приложил
      FRST.rar KVRT2020_Data.rar Обнаружено KES.rar Файлы шифрованные.rar
    • Warrr
      Автор Warrr
      Прошу помощи с расшифровкой вируса Mimic. В поддержку уже обращался, сказали, не помогут. Есть много пар зашифрованных/оригинальных файлов. Может можно что-то придумать…
       
      спасибо 
×
×
  • Создать...