Решена Все файлы зашифровались с расширением .criptokod

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Gunslinger, 9 июн 2015.

Статус темы:
Закрыта.
  1. Gunslinger
    Оффлайн

    Gunslinger Новый пользователь

    Сообщения:
    23
    Симпатии:
    0
    Здравствуйте! Словили на 2003 Сервере шифровальщик. Шифрует все подряд, добавляет расширение .criptokod. Сначала просили 100$ - заплатили, потом еще 100 - заплатили, сейчас просят еще 100. Понятно, что если заплатим, еще запросят. Платить более не собираемся. Нам все-таки скинули файл-дешифровщик, но он требует ввода пароля (за 100$ нам вроде бы его пришлют, но веры уже им нет). Пожалуйста, помогите, на серваке очень много важной информации. Во вложении прикрепляю файл-дешифровщик, который нам прислали. Видел на этом сайте, что кто-то обращался с такой же проблемой, которая успешно решилась. Заранее спасибо за помощь!
     

    Вложения:

  2. Gunslinger
    Оффлайн

    Gunslinger Новый пользователь

    Сообщения:
    23
    Симпатии:
    0
    Сейчас заметил еще одно сообщение от уже другого шифровальщика:

    Ваши файлы были зашифрованы.
    Чтобы расшифровать их, Вам необходимо отправить код:
    350035783CBAB7FBC8E2|0
    на электронный адрес decode0987@gmail.com или decode098<at>gmail.com.
    Далее вы получите все необходимые инструкции.
    Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
    All the important files on your computer were encrypted.
    To decrypt the files you should send the following code:
    350035783CBAB7FBC8E2|0
    to e-mail address decode0987@gmail.com or decode098@gmail.com .
    Then you will receive all necessary instructions.
    All the attempts of decryption by yourself will result only in irrevocable loss of your data.

    Сообщение от 1 шифровальщика:

    ЧТО ДЕЛАТЬ ДЛЯ РАЗБЛОКИРОВКИ ФАЙЛОВ

    Все просто, как Вы возможно и думали.
    Необходимо оплатить 100$ (или в рублях, или в зайчиках - все равно,
    главное, чтобы сумма была эквивалентна 100$).

    Оплату делаете на лайткоин (Litecoin, LTC) кошелек номер:

    LUgUo8vWNFTizCUYNWkkJXHHGssREPLjH5

    Это можно сделать как напрямую со своего лайткоин кошелька или
    биржи криптовалют (например btc-e.com) так и через обменник
    электронных валют, подходящий можно найти например тут:

    http://www.bestchange.ru

    Мы НЕ КОНСУЛЬТИРУЕМ по деталям проведения платежа, для
    этого есть поддержка (саппорт) на сайте биржи или обменника -
    туда и пишите, если что-то непонятно.

    ВНИМАНИЕ! ЕСЛИ ПЛАТЕЖ НЕ ПОСТУПИТ НА ПРОТЯЖЕНИИ
    2 СУТОК С МОМЕНТА ОТПРАВКИ ВАМ ЭТОГО ПИСЬМА -
    СУММА ОПЛАТЫ БУДЕТ УВЕЛИЧЕНА В 2 РАЗА, ТАК ЧТО НЕ ТЯНИТЕ.
    ФАЙЛЫ ЗАШИФРОВАНЫ СТОЙКИМ АЛГОРИТМОМ, И НИКТО
    КРОМЕ НАС ВАМ ИХ НЕ РАСШИФРУЕТ!!!

    На некоторых биржах и обменниках есть холд (задержка) обмена
    на 2-3 дня по данному направлению. Учитывайте это и не пишите
    зря - как только оплата пройдет и мы увидим ее на указанном выше
    кошельке, Вы получите все необходимое для расшифровки ваших
    файлов. Пришлем программу для расшифровки и пароль - запустите
    прогу, введете пароль - подождете несколько минут - и все файлы
    расшифруются.

    Информацию про обменники можно найти в интернете забив в поисковик:
    обменять яндекс (киви, вебмани) на лайткоин или подобрать на сайте,
    ссылка на который есть выше. Все несложно, если что непонятно - можно
    спросить у поддержки обменника. Насчет ускорения платежа - писать туда же.

    Насчет пробной расшифровки - мы этим не занимаемся, так как шифровщик
    шифрует все доступные ему файлы, и нам придется шифровать и расшифровывать
    целый компьютер вместе с Вашим файлом, если бы мы это делали для каждого кто
    просит, нам бы пришлось только этим и заниматься весь день.
    Мы не страховая компания - давать гарантии. Придется поверить на слово.

    Спасибо за внимание и не тяните с оплатой.

    asdfgh 12345.

    Похоже нас в добавок еще и заддосили: логи роутера забиты отправкой пакетов на разные порты по адресу 172.245.83.128, хост-файл изменен. Настройки сети сбиты: сбились ip, маска, шлюз (стоит автоматическое назначение, хотя все было прописано вручную), в dns-серверах прописались 172.245.83.128; 8.8.4.4 (т.к. dns прописаны на роутере, на сервере и клиентских машинах они не прописаны).
     
    Последнее редактирование модератором: 10 июн 2015
  3. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.469
    Симпатии:
    3.097
    Выполнять написанное строго в указанном порядке

    C:\WaspAce\plugins\pln\winlogin.exe заархивируйте с паролем virus, выложите на rghost.ru и пришлите ссылку на скачивание мне в личные сообщения

    Выполните скрипт в AVZ
    Код (Text):
    begin
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\WaspAce\plugins\pln\winlogin.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','32');
     DeleteFile('C:\WaspAce\plugins\pln\winlogin.exe','32');
     RegKeyParamDel('HKEY_USERS','S-1-5-21-4152891876-2739152126-2020701388-1011\Software\Microsoft\Windows\CurrentVersion\Run','Winlogon');
     RegKeyParamDel('HKEY_USERS','S-1-5-21-4152891876-2739152126-2020701388-1011\Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    end.
    Компьютер перезагрузите вручную.

    Выполните скрипт в AVZ
    Код (Text):
    begin
    CreateQurantineArchive('c:\quarantine.zip');
    end.
    Отправьте c:\quarantine.zip при помощи этой формы


    Сделайте новые логи по правилам
     
    shestale и akok нравится это.
  4. Gunslinger
    Оффлайн

    Gunslinger Новый пользователь

    Сообщения:
    23
    Симпатии:
    0
    thyrex, не могу найти, где послать сообщение в личку.
     
  5. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.449
    Симпатии:
    13.950
  6. Gunslinger
    Оффлайн

    Gunslinger Новый пользователь

    Сообщения:
    23
    Симпатии:
    0
    Все сделал, как Вы просили, файлы отправил.
     
  7. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.595
    А это?
     
  8. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.469
    Симпатии:
    3.097
    Файл получил. Эти недоумки и сами не смогут расшифровать файлы с расширением .criptokod. Я напишу дешифратор, но на это нужно время и не уверен, что еще и массу работы не придется Вам провести и самостоятельно.
    Есть у Вас возможность найти все подобные зашифрованные файлы и выложить на YandexDisk?

    Со вторым шифровальщиком помогут только сами злодеи.

    Ждем логи после выполнения скрипта
     
  9. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
  10. Gunslinger
    Оффлайн

    Gunslinger Новый пользователь

    Сообщения:
    23
    Симпатии:
    0
    thyrex, regist, спасибо! Второй шифровальшик, как я понял, ничего не сделал, т.к. файлы уже зашифрованы criptokod. Логи отправил, надеюсь все сделал правильно на этот раз.
     
  11. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.469
    Симпатии:
    3.097
    Логи прикрепляют к сообщению :) А по форме отправляют только карантин

    Как насчет этого?
     
  12. Gunslinger
    Оффлайн

    Gunslinger Новый пользователь

    Сообщения:
    23
    Симпатии:
    0
    Напутал, да, еще не освоился на сайте. Лог прикрепил. Ссылка на файлы - https://yadi.sk/d/YUN5VcyEhC9wb
     

    Вложения:

  13. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.469
    Симпатии:
    3.097
    Всего три файла зашифрованы? :)
     
  14. Gunslinger
    Оффлайн

    Gunslinger Новый пользователь

    Сообщения:
    23
    Симпатии:
    0
    Все зашифрованы, я скинул с разными расширениями, pdf файлы не тронуты. Скажите что еще прислать?
     
  15. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.469
    Симпатии:
    3.097
    Я просил прислать все зашифрованные, а не по одному разных форматов.
     
  16. Gunslinger
    Оффлайн

    Gunslinger Новый пользователь

    Сообщения:
    23
    Симпатии:
    0
    Так это получается гигантский объем, учитывая базы 1С и их бэкапы...
     
  17. Gunslinger
    Оффлайн

    Gunslinger Новый пользователь

    Сообщения:
    23
    Симпатии:
    0
    Или я так понимаю, Вы пришлете не сам дешифратор, а уже расшифрованные файлы??
     
    Последнее редактирование модератором: 11 июн 2015
  18. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.469
    Симпатии:
    3.097
    Дело в том, что данный "шифровальщик" в процессе работы генерирует случайное число из отрезка [0;9]. Оно означает, сколько байт файл задействуется в работе вируса. Число 0 означает, что у файла просто меняется расширение. Так что файлы мне нужны для попытки написать что-то более менее универсальное
    пока без них можно обойтись
     
  19. Gunslinger
    Оффлайн

    Gunslinger Новый пользователь

    Сообщения:
    23
    Симпатии:
    0
    Понял, спасибо за помощь, заархивирую и скину Яндекс диск. Только это займет время...интернет на работе не айс...
     
  20. Gunslinger
    Оффлайн

    Gunslinger Новый пользователь

    Сообщения:
    23
    Симпатии:
    0
Статус темы:
Закрыта.

Поделиться этой страницей