Перейти к содержанию

[РАСШИФРОВАНО]Зашифрован сервер адрес вымогателей lovestoryforyou@protonmail.com


Рекомендуемые сообщения

Прошу помочь расшифровать файлы сервера.

Произошло это сегодня ночью, логи FRST снял, также имеются файлы зашифрованный и оригинальный и письмо вымогателей.

Будем очень признательны за помощь, спасибо!

Ссылка на комментарий
Поделиться на другие сайты

Прилагаю файлы логов FRST,  зашифрованный файл "Autoruns.zip.BLOCK" (упакован в zip) и оригинальный файл "Autoruns.zip", а также письмо от вымогателей "КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt"

 

Addition.txt Autoruns.zip Autoruns.zip.BLOCK.zip FRST.txt КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Поищите другую пару файлов. Размер их должен совпадать.

Ищите в резервных копиях, почте, на других ПК и т.д.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Некоторое время подождите.

 

Сначала чистим хвосты в системе, потом будет выдана расшифровка.

 

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    File: C:\ProgramData\Microsoft\DRM\Fyiroroho\Nsilo.exe
    (taskeng.exe ->) () [Доступ не разрешён] C:\ProgramData\Microsoft\DRM\Fyiroroho\Nsilo.exe
    C:\ProgramData\Microsoft\DRM\Fyiroroho\Nsilo.exe
    Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
    Startup: C:\Users\admin.KFS02\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
    Startup: C:\Users\ADMIN3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
    Startup: C:\Users\admind\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
    Startup: C:\Users\admitry\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
    Startup: C:\Users\admitry.KFS02\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
    Startup: C:\Users\odmin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
    Startup: C:\Users\sadmin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
    Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
    Startup: C:\Users\Программист1с2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
    Task: {2062DA64-3CBC-4990-835E-3CC246837161} - System32\Tasks\Microsoft\Windows\EntityFramework\NetFramework => C:\ProgramData\Microsoft\DRM\Fyiroroho\Nsilo.exe (Доступ не разрешён) <==== ВНИМАНИЕ
    Task: {D21C2804-1EC8-4ECE-A258-27B318E6966D} - System32\Tasks\WindowsUpdate => C:\Program Files\Common Files\Intel\svchost.exe (Нет файла) <==== ВНИМАНИЕ
    S4 IObitUnlocker; \??\E:\IObit Unlocker\IObitUnlocker.sys [X]
    FirewallRules: [{5B9BFABA-0464-4B11-A4EA-62F4224C9682}] => (Allow) LPort=21
    FirewallRules: [{BEC7BB6F-C31A-4C47-9173-26C61DA29EBA}] => (Allow) C:\ProgramData\Microsoft\DRM\Izanoma\NetFramework.exe => Нет файла
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Жаль, что вы дважды выполнили скрипт, хоть я просил один раз. Новый fixlog перезаписал результаты старого.

Но ладно. Прочтите личные сообщения.

Ссылка на комментарий
Поделиться на другие сайты

Спасибо огромное, процесс расшифровки пошел.

Скажите, пожалуйста, у меня еще 2 сервера в таком же зашифрованном состоянии -можно ли на них делать исправление c помощью вашего скрипта + frst64 и запускать расшифровку?

Ссылка на комментарий
Поделиться на другие сайты

Отлично!

 

14 часов назад, ADmitry73 сказал:

c помощью вашего скрипта + frst64

Нет, скрипт был написан только для этой системы.

Если на других нужна помощь в очистке следов, создайте для каждого отдельную тему и соберите логи Farbar.

 

Здесь в завершение:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2. 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на комментарий
Поделиться на другие сайты

  • Sandor changed the title to [РАСШИФРОВАНО]Зашифрован сервер адрес вымогателей lovestoryforyou@protonmail.com

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • whoamis
      От whoamis
      Добрый день зашифровало сервер, предположительно кто-то скачал картинку на сервере и открыл.
      Addition.txt FRST.txt 11.rar
    • jserov96
      От jserov96
      Шифровальщик запустился скорее всего из планировщика заданий ровно в 21:00 16 ноября в субботу.  Время указано на основе найденных зашифрованных файлов. Шифровальщик нашел все скрытые диски, подключил все бекапы, зашифровал все содержимое .vhd бекапов, и сами бекапы тоже зашифровал. Сервер отключен, диск с бекапами снят, зашифрованные .vhd файлы перенесены на другой диск, чтобы попробовать вытащить файлы. Шифровальщик шифрует первый 20000h байт файла и дописывает 300h байт в огромные файлы, видимо сделано для ускорения шифрования всего диска. Особенность: выполняемые файлы не шифруются!
      vx2.rar
    • sduganov
      От sduganov
      Добрый день!
      поймали шифровальщика.. не смогли запустить 1с они еще и на sql
      Addition.txt FRST.txt файлызашиф.rar
    • Denissav
      От Denissav
      Подключились к серверу 30.07 в 4 часа примерно и зашифровали файлы.  Файлы получили расширение .yLizaQzKX . Самое обидное что накопитель с архивом был на этом же сервере.
      file.zip report.zip
    • AYu
      От AYu
      Взломали сервер, зашифровали данные, требуют выкуп. Может ктосталкивался с ним? Ведем переговоры с *****
      yFhK8sxrC0.rar
×
×
  • Создать...