Перейти к содержанию

запрос на расшифровку файлов в Лабораторию Касперского

Eugen
 Share Подписчики 2

Рекомендуемые сообщения

Eugen

Eugen 0

Опубликовано
Опубликовано

1 7.07.2021 приблизительно в 04:30: были зашифрованы данные. По каким причинам, пока нет возможности выяснить, ни одна консоль на сервере не запускается.

Сервер WINDOWS 2008R2 С ПОСЛЕДНИМИ ОБНОВОЕНИЯМИ.

Установлен Kasperskiy Small Office Scurity последняя версия с последними обновлениями баз.

Что теперь делать даже и не знаю.

Два Архива, первый virus это сам файл описания что делать от злоумышлиников (опишите может какие-то дополнительные файлы Вам выслать). Второй отчет утилиты сканирования.

 

All Your Files Has Been Encrypted

You Have to Pay to Get Your Files Back

1-Go to C:\ProgramData\ or in Your other Drives   and send us prvkey*.txt.key  file ,  *  might be a number (like this : prvkey3.txt.key) 

2-You can send some file little than 1mb for Decryption test to trust us But the test File should not contain valuable data

3-Payment should be with Bitcoin


4-Changing Windows without saving prvkey.txt.key file will cause permanete Data loss


Our Email:Decryptioncenter2016@gmail.com

in Case of no Answer:Backupcenter2016@gmail.com

 

Подскажите что делать?

 

Ссылка на сообщение
Поделиться на другие сайты
  • thyrex changed the title to запрос на расшифровку файлов в Лабораторию Касперского
Sandor

Sandor 964

Опубликовано
Опубликовано

К сожалению, расшифровки этой версии вымогателя нет.

 

39 минут назад, Eugen сказал:

Установлен Kasperskiy Small Office Scurity последняя версия с последними обновлениями баз

Вероятно был взлом RDP, ручные остановка антивируса и запуск шифровальщика. Пароль на RDP меняйте.

 

Семь из одиннадцати учетных записей обладают правами администратора. Не много ли?

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
Startup: C:\Users\1C.SERVER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decrypt-info.txt [2021-07-17] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Decrypt-info.txt [2021-07-17] () [Файл не подписан]
Startup: C:\Users\Boss\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decrypt-info.txt [2021-07-17] () [Файл не подписан]
Startup: C:\Users\buh1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decrypt-info.txt [2021-07-17] () [Файл не подписан]
Startup: C:\Users\GBuh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decrypt-info.txt [2021-07-17] () [Файл не подписан]
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Windows\Tasks\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Windows\SysWOW64\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Public\Downloads\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Public\Documents\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Public\Desktop\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Public\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\Downloads\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\Documents\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\Desktop\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\AppData\Roaming\Microsoft\Windows\Start Menu\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\AppData\Roaming\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\AppData\LocalLow\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\AppData\Local\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\AppData\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\Downloads\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\Documents\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\Desktop\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\AppData\Roaming\Microsoft\Windows\Start Menu\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\AppData\Roaming\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\AppData\LocalLow\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\AppData\Local\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\AppData\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\Downloads\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\Documents\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\Desktop\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\AppData\Roaming\Microsoft\Windows\Start Menu\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\AppData\Roaming\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\AppData\LocalLow\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\AppData\Local\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\AppData\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\Downloads\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\Documents\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\Desktop\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\AppData\Roaming\Microsoft\Windows\Start Menu\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\AppData\Roaming\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\AppData\LocalLow\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\AppData\Local\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\AppData\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Decrypt-info.txt
2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Program Files\Common Files\Decrypt-info.txt
2021-07-17 04:26 - 2021-07-17 04:29 - 000000567 _____ C:\ProgramData\Decrypt-info.txt
2021-07-17 04:26 - 2021-07-17 04:26 - 000000567 _____ C:\Windows\Decrypt-info.txt
2021-07-17 04:26 - 2021-07-17 04:26 - 000000567 _____ C:\Users\Decrypt-info.txt
2021-07-17 04:26 - 2021-07-17 04:26 - 000000567 _____ C:\Program Files\Decrypt-info.txt
2021-07-17 04:26 - 2021-07-17 04:26 - 000000567 _____ C:\Program Files (x86)\Decrypt-info.txt
FirewallRules: [{4DF1BD0B-DDD2-4818-8F5E-20116F45A4CE}] => (Allow) LPort=475
FirewallRules: [{706D32EF-EFB2-4E47-8BB5-D923EF607B2E}] => (Allow) LPort=475
FirewallRules: [{F55B61D4-64A3-4E6D-A77E-A9ED1BBDEB87}] => (Allow) LPort=1000
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер следует перезагрузить вручную.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 964

Опубликовано
Опубликовано
58 минут назад, Sandor сказал:

Пароль на RDP меняйте.

 

Семь из одиннадцати учетных записей обладают правами администратора. Не много ли?

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет: 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 964

Опубликовано
Опубликовано

Будьте бдительны.

Читайте Рекомендации после удаления вредоносного ПО

 

Если вам нужен официальный ответ компании, создайте такой запрос на расшифровку.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Oleg P
      Зашифрована ОС Windows Server 2016
      От Oleg P
      Коллеги.ю добрый день.
      Зашифрован сервер с ОС Windows Server 2016 - предположительно, через уязвимость в протоколе RDP. Прилагаются следующие файлы:
      - Примеры зашифрованных файлов (3 шт.)
      - Открытый ключ шифрования (исходное расширение - key)
      - Баннер, оставленный злоумышленниками
      - Письмо, полученное от злоумышленников в ответ на письмо, отправленное нами (со всеми метаданными)
      Система не загружается ни в каком режиме, т.к. системные файлы, предположительно, также зашифрованы.
      Исходное расширение зашифрованных файлов - wixawm
      Ждем дальнейших инструкций.
      Заранее спасибо за помощь.
      Thumbs.db,(MJ-AP9840316572)(helpcenter2008@gmail.com).txt Выигранные тендеры.xlsx,(MJ-AP9840316572)(helpcenter2008@gmail.com).txt Обеспечение контракта - деньги.docx,(MJ-AP9840316572)(helpcenter2008@gmail.com).txt RSAKEY-MJ-IZ0643158279.txt Decryption-Guide.txt Fwd Your Case ID MJ-OS3547089612 - free-daemon@yandex.ru - 2021-12-13 1414.txt
    • negativv666
      Расшифровка файлов
      От negativv666
      Добрый день. Зашифровались файлы.
      В архиве Desktop  - письмо от шифровальщика и два зашифрованных файла.
      В архиве ProramData  - файлы prvkey.txt.key которые нужно отправить взломщику. Пароль на этот архив  - virus.
      kixonw@gmail.com - Это архив предположительно с вирусом. Пароль на архив  - virus.
      Касперский определил этот файл как - virus.win32.neshta.a
      Desktop.rar ProgramData.rar kixonw@gmail.com.rar
    • wadmin
      Поймал шифровальщика [zomiter@gmail.com][MJ-IS1804235967].RTX
      От wadmin
      Заражение шифровальщиком.
      Добрый день, были зашифрованы почти все файлы на одном из сетевых ресурсов.
      Файл шифровальщик с помощью Kaspersky Virus Removal Tool обнаружить не удалось.
       
      Addition.txt FRST.txt Desktop.zip
    • KommanderRex
      Шифровальщик badlamadec@gmail.com
      От KommanderRex
      Здравствуйте!
      Шифровальщик badlamadec@gmail.com (Lama) зашифровал все файлы на компьютере. Нужна помощь в расшифровке.
      На данном компьютере был установлен Kaspersky Free, но в момент обнаружения зашифрованных файлов его уже не было.
      Предположительно был взломан RDP. Антивирус был удален так как о нем не было никаких упоминаний.
      После компьютер был проверен Kaspersky Total Security а так же утилитой Dr.WEB Curelt, но никаких вредоносных программ обнаружено не было.
      Еще на компьютере были удалены все точки восстановления системы.
      Текстовый файл с требованиями заплатить, а так же иные файлы и несколько зашифрованных файлов во вложении.
       
      ШифровальщикLAMA.zip
    • vanmiass
      Шифровальщик openthefile@mailfence.com
      От vanmiass
      Добрый вечер! Прошу помощи с расшифровкой файлов. Через RDP был взломан сервер. Во вложении записка с требованием выкупа, key-файлы и зашифрованные файлы.
      Новая папка.zip
×
×
  • Создать...