Перейти к содержанию

запрос на расшифровку файлов в Лабораторию Касперского


Рекомендуемые сообщения

1 7.07.2021 приблизительно в 04:30: были зашифрованы данные. По каким причинам, пока нет возможности выяснить, ни одна консоль на сервере не запускается.

Сервер WINDOWS 2008R2 С ПОСЛЕДНИМИ ОБНОВОЕНИЯМИ.

Установлен Kasperskiy Small Office Scurity последняя версия с последними обновлениями баз.

Что теперь делать даже и не знаю.

Два Архива, первый virus это сам файл описания что делать от злоумышлиников (опишите может какие-то дополнительные файлы Вам выслать). Второй отчет утилиты сканирования.

 

All Your Files Has Been Encrypted

You Have to Pay to Get Your Files Back

1-Go to C:\ProgramData\ or in Your other Drives   and send us prvkey*.txt.key  file ,  *  might be a number (like this : prvkey3.txt.key) 

2-You can send some file little than 1mb for Decryption test to trust us But the test File should not contain valuable data

3-Payment should be with Bitcoin


4-Changing Windows without saving prvkey.txt.key file will cause permanete Data loss


Our Email:Decryptioncenter2016@gmail.com

in Case of no Answer:Backupcenter2016@gmail.com

 

Подскажите что делать?

 

Ссылка на сообщение
Поделиться на другие сайты
  • thyrex changed the title to запрос на расшифровку файлов в Лабораторию Касперского

К сожалению, расшифровки этой версии вымогателя нет.

 

39 минут назад, Eugen сказал:

Установлен Kasperskiy Small Office Scurity последняя версия с последними обновлениями баз

Вероятно был взлом RDP, ручные остановка антивируса и запуск шифровальщика. Пароль на RDP меняйте.

 

Семь из одиннадцати учетных записей обладают правами администратора. Не много ли?

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    Startup: C:\Users\1C.SERVER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decrypt-info.txt [2021-07-17] () [Файл не подписан]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Decrypt-info.txt [2021-07-17] () [Файл не подписан]
    Startup: C:\Users\Boss\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decrypt-info.txt [2021-07-17] () [Файл не подписан]
    Startup: C:\Users\buh1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decrypt-info.txt [2021-07-17] () [Файл не подписан]
    Startup: C:\Users\GBuh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decrypt-info.txt [2021-07-17] () [Файл не подписан]
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Windows\Tasks\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Windows\SysWOW64\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Public\Downloads\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Public\Documents\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Public\Desktop\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Public\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\Downloads\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\Documents\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\Desktop\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\AppData\Roaming\Microsoft\Windows\Start Menu\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\AppData\Roaming\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\AppData\LocalLow\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\AppData\Local\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\AppData\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\Downloads\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\Documents\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\Desktop\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\AppData\Roaming\Microsoft\Windows\Start Menu\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\AppData\Roaming\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\AppData\LocalLow\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\AppData\Local\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\AppData\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\Downloads\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\Documents\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\Desktop\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\AppData\Roaming\Microsoft\Windows\Start Menu\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\AppData\Roaming\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\AppData\LocalLow\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\AppData\Local\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\AppData\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\Downloads\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\Documents\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\Desktop\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\AppData\Roaming\Microsoft\Windows\Start Menu\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\AppData\Roaming\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\AppData\LocalLow\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\AppData\Local\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\AppData\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Program Files\Common Files\Decrypt-info.txt
    2021-07-17 04:26 - 2021-07-17 04:29 - 000000567 _____ C:\ProgramData\Decrypt-info.txt
    2021-07-17 04:26 - 2021-07-17 04:26 - 000000567 _____ C:\Windows\Decrypt-info.txt
    2021-07-17 04:26 - 2021-07-17 04:26 - 000000567 _____ C:\Users\Decrypt-info.txt
    2021-07-17 04:26 - 2021-07-17 04:26 - 000000567 _____ C:\Program Files\Decrypt-info.txt
    2021-07-17 04:26 - 2021-07-17 04:26 - 000000567 _____ C:\Program Files (x86)\Decrypt-info.txt
    FirewallRules: [{4DF1BD0B-DDD2-4818-8F5E-20116F45A4CE}] => (Allow) LPort=475
    FirewallRules: [{706D32EF-EFB2-4E47-8BB5-D923EF607B2E}] => (Allow) LPort=475
    FirewallRules: [{F55B61D4-64A3-4E6D-A77E-A9ED1BBDEB87}] => (Allow) LPort=1000
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер следует перезагрузить вручную.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
58 минут назад, Sandor сказал:

Пароль на RDP меняйте.

 

Семь из одиннадцати учетных записей обладают правами администратора. Не много ли?

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на сообщение
Поделиться на другие сайты

Будьте бдительны.

Читайте Рекомендации после удаления вредоносного ПО

 

Если вам нужен официальный ответ компании, создайте такой запрос на расшифровку.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От ruda2004
      Доброго дня.
      Все файлы зашифрованы .Jager
      Система не загружается. Скопировал файлы с другой системы. Логов не могу приложить по причине "мертвой зараженной ОС"
       
      Вымогатели просят 
      Go to C:\ProgramData\  folder  and send us prvkey*.txt.key  file ,  *  might be a number (like this : prvkey3.txt.key)
      Payment should be with Bitcoin
       
      Почты злоумышленника
      enjoy.its.good@gmail.com
      JagerDecryptor@protonmail.com
       
      Пример имени файла
      расчет.xlsx.[enjoy.its.good@gmail.com][MJ-SL5270638419].Jager
      jager.7z
    • От Slog_gkh
      Зашифровали все данные на двух серверах.
      vir.zip Addition.txt FRST.txt
    • От Дарья91
      Есть варианты расшифровки ? 
      Зашифр.файлы.zip
    • От wertep
      Проникновение через RDP. Зашифрованы почти все файлы с добавлением .[Decode@criptext.com][MJ-HJ1650237498].Dpr.
      Результат сканирования.
      FRST.txtAddition.txt
      Шифровальщик или расшифровщик.
      Decode@criptext.com.zip
      Образец зашифрованных файлов, один из них в не зашифрованном виде.
      Shifr.zip
      Прошу помочь.
    • От Алексей Лебедев
      Добрый день! Проблема появилась утром сегодня 16.04.21 примерно в 03:00, утром специалисты учреждения не смогли попасть на сервер, при проверки сервера обнаружилось что невозможно залогиниться ни под одной учетной записью, после чего было предположено что ошибка в ПО или неисправности HDD, присоединив диск к другой машине обнаружилось что файлы имеют суффикс [decodeacrux@gmail.com][MJ-YZ3946205871] что непосредственно указывает на вирус. Файлы повреждены не все. спасибо нашему слабому интернету). причиной почему так произошло утверждать трудно однако одна из причин на мой взгляд безконтрольный доступ с флешками, старые ОС (типа win XP), закончившаяся лицензия на другой антивирь.
      Addition.txt FRST.txt decodeacrux.rar
×
×
  • Создать...