Перейти к содержанию

запрос на расшифровку файлов в Лабораторию Касперского


Рекомендуемые сообщения

1 7.07.2021 приблизительно в 04:30: были зашифрованы данные. По каким причинам, пока нет возможности выяснить, ни одна консоль на сервере не запускается.

Сервер WINDOWS 2008R2 С ПОСЛЕДНИМИ ОБНОВОЕНИЯМИ.

Установлен Kasperskiy Small Office Scurity последняя версия с последними обновлениями баз.

Что теперь делать даже и не знаю.

Два Архива, первый virus это сам файл описания что делать от злоумышлиников (опишите может какие-то дополнительные файлы Вам выслать). Второй отчет утилиты сканирования.

 

All Your Files Has Been Encrypted

You Have to Pay to Get Your Files Back

1-Go to C:\ProgramData\ or in Your other Drives   and send us prvkey*.txt.key  file ,  *  might be a number (like this : prvkey3.txt.key) 

2-You can send some file little than 1mb for Decryption test to trust us But the test File should not contain valuable data

3-Payment should be with Bitcoin


4-Changing Windows without saving prvkey.txt.key file will cause permanete Data loss


Our Email:Decryptioncenter2016@gmail.com

in Case of no Answer:Backupcenter2016@gmail.com

 

Подскажите что делать?

 

Ссылка на комментарий
Поделиться на другие сайты

  • thyrex changed the title to запрос на расшифровку файлов в Лабораторию Касперского

К сожалению, расшифровки этой версии вымогателя нет.

 

39 минут назад, Eugen сказал:

Установлен Kasperskiy Small Office Scurity последняя версия с последними обновлениями баз

Вероятно был взлом RDP, ручные остановка антивируса и запуск шифровальщика. Пароль на RDP меняйте.

 

Семь из одиннадцати учетных записей обладают правами администратора. Не много ли?

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    Startup: C:\Users\1C.SERVER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decrypt-info.txt [2021-07-17] () [Файл не подписан]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Decrypt-info.txt [2021-07-17] () [Файл не подписан]
    Startup: C:\Users\Boss\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decrypt-info.txt [2021-07-17] () [Файл не подписан]
    Startup: C:\Users\buh1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decrypt-info.txt [2021-07-17] () [Файл не подписан]
    Startup: C:\Users\GBuh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decrypt-info.txt [2021-07-17] () [Файл не подписан]
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Windows\Tasks\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Windows\SysWOW64\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Public\Downloads\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Public\Documents\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Public\Desktop\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Public\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\Downloads\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\Documents\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\Desktop\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\AppData\Roaming\Microsoft\Windows\Start Menu\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\AppData\Roaming\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\AppData\LocalLow\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\AppData\Local\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\GBuh\AppData\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\Downloads\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\Documents\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\Desktop\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\AppData\Roaming\Microsoft\Windows\Start Menu\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\AppData\Roaming\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\AppData\LocalLow\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\AppData\Local\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\buh1\AppData\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\Downloads\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\Documents\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\Desktop\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\AppData\Roaming\Microsoft\Windows\Start Menu\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\AppData\Roaming\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\AppData\LocalLow\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\AppData\Local\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\Boss\AppData\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\Downloads\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\Documents\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\Desktop\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\AppData\Roaming\Microsoft\Windows\Start Menu\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\AppData\Roaming\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\AppData\LocalLow\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\AppData\Local\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Users\1C.SERVER\AppData\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Decrypt-info.txt
    2021-07-17 04:29 - 2021-07-17 04:29 - 000000567 _____ C:\Program Files\Common Files\Decrypt-info.txt
    2021-07-17 04:26 - 2021-07-17 04:29 - 000000567 _____ C:\ProgramData\Decrypt-info.txt
    2021-07-17 04:26 - 2021-07-17 04:26 - 000000567 _____ C:\Windows\Decrypt-info.txt
    2021-07-17 04:26 - 2021-07-17 04:26 - 000000567 _____ C:\Users\Decrypt-info.txt
    2021-07-17 04:26 - 2021-07-17 04:26 - 000000567 _____ C:\Program Files\Decrypt-info.txt
    2021-07-17 04:26 - 2021-07-17 04:26 - 000000567 _____ C:\Program Files (x86)\Decrypt-info.txt
    FirewallRules: [{4DF1BD0B-DDD2-4818-8F5E-20116F45A4CE}] => (Allow) LPort=475
    FirewallRules: [{706D32EF-EFB2-4E47-8BB5-D923EF607B2E}] => (Allow) LPort=475
    FirewallRules: [{F55B61D4-64A3-4E6D-A77E-A9ED1BBDEB87}] => (Allow) LPort=1000
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер следует перезагрузить вручную.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

58 минут назад, Sandor сказал:

Пароль на RDP меняйте.

 

Семь из одиннадцати учетных записей обладают правами администратора. Не много ли?

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на комментарий
Поделиться на другие сайты

Будьте бдительны.

Читайте Рекомендации после удаления вредоносного ПО

 

Если вам нужен официальный ответ компании, создайте такой запрос на расшифровку.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Elly
      От Elly
      Друзья!
       
      «Лабораторией Касперского» разработано множество защитных решений для домашних пользователей. Предлагаем вам поучаствовать в викторине, ответить на двадцать сложных вопросов о защитных решениях «Лаборатории Касперского», особенностях их функционирования, свойствах и узнать для себя что-то новенькое. При поиске ответов рекомендуется использовать в качестве достоверных источников информации только официальные сайты «Лаборатории Касперского». Каждый вопрос относится к актуальной версии соответствующей программы, если в самом вопросе не указано иное.
       
      НАГРАЖДЕНИЕ
      Без ошибок — 2 000 баллов Одна ошибка — 1700 баллов Две ошибки — 1200 баллов Баллами можно оплатить лицензии и сувениры в магазине Клуба. 
       
      ПРАВИЛА ПРОВЕДЕНИЯ

      Викторина проводится до 20:00 09 ноября 2024 года (время московское).
      Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины.

      Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователю@Mrak (пользователей @andrew75, @oit и @Ellyвключать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Ответ будет дан коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает.
      Вопросы по начислению баллов направлять пользователю@Ellyчерез систему личных сообщений.

      Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответы направляются представителем от организаторов викторины через личные сообщения в рамках созданной переписки.

      Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза, применить иные меры (вплоть до блокировки аккаунта) в случае выявления фактов его недобросовестного участия в ней и/или нарушения правил викторины, передачи ответов на викторину иным участникам. При ответе на вопросы викторины запрещается использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса.

      Вопросы по начислению баллов, принимаются в течение 30 дней с момента подведения итогов викторины. Викторина является собственностью клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации клуба запрещено.

      Участие в викторине означает безоговорочное согласие с настоящими правилами. Для перехода к вопросам викторины нажмите ЗДЕСЬ.
    • Profssn
      От Profssn
      Нужна помощь расшифровать. Поймали на другом ПК с другой windows. Windows удален. Файлы переименованы на расшерение decrypting@cock.li
      Новая сжатая ZIP-папка.zip Addition.txt FRST.txt
    • KL FC Bot
      От KL FC Bot
      Игра Battle City, более известная как танчики, — символ давно ушедшей эпохи. Около 30 лет назад геймеры вставляли картридж в приставку, садились за пузатые телевизоры и пачками уничтожали вражеские танки до тех пор, пока кто-нибудь им не скажет про «кинескоп, который вот-вот должен сесть».
      Сегодня мир совсем другой, а танчики по-прежнему популярны. Дело в том, что современные аналоги предлагают геймерам не только поиграть, но и заработать NFT-токены. Злоумышленники тоже кое-что предлагают: сложную атаку для любителей криптовалютных игр.
      Бэкдор и эксплойт уязвимости нулевого дня в Google Chrome
      Эта история началась в феврале 2024 года, когда наше защитное решение обнаружило проникновение бэкдора Manuscrypt на компьютер пользователя из России. Такой бэкдор нам давно известен, его различные версии используют члены группировки APT Lazarus как минимум с 2013 года. Но что особенного в этой истории, если мы прекрасно знаем основной инструмент и методы работы злоумышленников?
      Дело в том, что эти хакеры обычно нацелены на крупные организации: банки, IT-компании, университеты и даже правительственные организации. Теперь руки Lazarus дотянулись до физических лиц — бэкдор на компьютере частного пользователя! Киберпреступники заманили жертву на сайт игры и получили полный доступ к ее компьютеру. Злоумышленникам удалось это сделать благодаря трем составляющим:
      невероятному желанию жертвы сыграть в любимые танчики в новой оболочке; уязвимости нулевого дня в Google Chrome; наличию эксплойта, позволявшего удаленно выполнить код в процессе Google Chrome. Для тех, кто переживает: компания Google выпустила обновление браузера, заблокировала сайт танчиков и поблагодарила исследователей безопасности «Лаборатории Касперского». Но на всякий случай: наши продукты детектируют и бэкдор Manuscrypt, и эксплойт. Подробности этой истории мы раскрыли в блоге Securelist.
       
      View the full article
    • Elly
      От Elly
      Друзья!
       
      «Лаборатория Касперского» существует уже 27 лет. За это время компанией выпущено огромное число различных защитных решений. Большинство решений для домашних пользователей выпускается в коробочных версиях. Некоторые из этих коробок выпускались не просто в необычном, а даже в эксклюзивном дизайне.
      Небольшой пример необычного варианта коробочной версии Kaspersky Internet Security:
       
       
      Мы подготовили для вас викторину по дизайну коробок, в которых выпускались продукты «Лаборатории Касперского».
       
      ПРАВИЛА
      – викторина состоит из 12 вопросов, опубликованных ЗДЕСЬ;
      – каждый вопрос относится к коробке, фрагмент изображения которой представлен в этом вопросе;
      – варианты ответов не предоставляются;
      – заполнить и отправить форму можно несколько раз, но засчитан будет только первый отправленный ответ.
       
      НАГРАЖДЕНИЕ
      Без ошибок — 1 500 баллов Одна ошибка — 1 200 баллов Две ошибки — 800 баллов Баллами можно оплатить лицензии и сувениры в магазине Клуба. 
       
      ПРАВИЛА ПРОВЕДЕНИЯ
      Викторина проводится до 20:00 23 октября 2024 года (время московское).
      Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины.

      Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователю @andrew75 (пользователей @oit и @Ellyвключать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Ответ будет дан коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает.
      Вопросы по начислению баллов направлять пользователю@Ellyчерез систему личных сообщений.

      Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответы направляются представителем от организаторов викторины через личные сообщения в рамках созданной переписки.

      Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза, применить иные меры (вплоть до блокировки аккаунта) в случае выявления фактов его недобросовестного участия в ней и/или нарушения правил викторины, передачи ответов на викторину иным участникам. При ответе на вопросы викторины запрещается использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса.

      Вопросы по начислению баллов, принимаются в течение 30 дней с момента подведения итогов викторины. Викторина является собственностью клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации клуба запрещено.

      Участие в викторине означает безоговорочное согласие с настоящими правилами.
      Для перехода к вопросам викторины нажмите ЗДЕСЬ.
    • KL FC Bot
      От KL FC Bot
      Удобство облачных хранилищ файлов наподобие Dropbox и OneDrive омрачается лишь тем, что злоумышленники, спецслужбы или просто сотрудники хостинг-провайдера могут несанкционированно просматривать файлы в облаке. Но решение для конфиденциального хранения есть: целый ряд сервисов предлагает хранить файлы в зашифрованном виде. Некоторые называют это End-to-End Encryption, сквозным шифрованием, по аналогии с Signal и WhatsApp. Реклама гласит, что файлы шифруются еще на устройстве хозяина и отправляются в облако уже зашифрованными, а ключ шифрования есть только у владельца файлов. И никто, даже сотрудники сервиса, не может получить доступ к информации. Но так ли это на самом деле?
      Наташа, мы сломали все шифрование. Честно
      Исследователи с факультета прикладной криптографии ETH Zurich детально разобрали алгоритмы пяти популярных зашифрованных хранилищ: Sync.com, pCloud, Icedrive, Seafile и Tresorit. Оказалось, что разработчики каждого из этих сервисов допустили ошибки в реализации шифрования, позволяющие в той или иной степени манипулировать файлами и даже получать доступ к фрагментам незашифрованных данных. В двух других популярных хостингах, MEGA и Nextcloud, исследователи обнаружили дефекты раньше.
       
      View the full article
×
×
  • Создать...