Решена без расшифровки Расшифровка после email-nightmare666@cock.li

[alkane]

Сегодня утром на серваки грохнулись все доки. шифровальщик вот эта тварь - email-nightmare666@cock.li. просят ясен красен денег. многоуважаемые господа, прошу помощи.

 

[Sandor]

Здравствуйте!

Соберите и прикрепите отчёты по правилам этого раздела.

 

[akok]

Пароли на RDP меняйте.

 

[alkane]

Пароли поменял. и обнаружил, что появился какой то пользователь sys
rite to nightmare666@cock.li or telegram account @helprestore
это из файла README

 

[thyrex]

Где в правилах говорится об этих логах? Правила

 

[akok]

оявился какой то пользователь sys

Удалите пользователя.

 

[alkane]

Грохнул пользователя. как данные расшифровать?

 

[Sandor]

Мы пока всё ещё ждем логи по правилам.

 

[akok]

И файлы прикрепите зашифрованные для подбора.

 

[alkane]

Зашифрованный файл

 

[Sandor]

@alkane, почему вы читаете "через строку"?
Мы третий раз просим собрать и прикрепить отчёты по правилам. Нужно запустить Autologger и дождаться завершения. Не сложно ведь.

 

[alkane]

Сделал

 

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  File: C:\ProgramData\Microsoft\WwanSvc\tps.exe
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[alkane]

Готово

 

[alkane]

Что делать дальше?

 

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  (Microsoft Corporation) [File not signed] C:\ProgramData\Microsoft\WwanSvc\tps.exe
  C:\ProgramData\Microsoft\WwanSvc\tps.exe
  R2 Java; C:\ProgramData\Microsoft\WwanSvc\tps.exe [263680 2018-05-28] (Microsoft Corporation) [File not signed] <==== ATTENTION
  2019-06-09 18:58 - 2019-06-09 18:58 - 000000082 _____ C:\Users\USER\README.txt
  2019-06-09 18:58 - 2019-06-09 18:58 - 000000082 _____ C:\Users\USER\Downloads\README.txt
  2019-06-09 18:58 - 2019-06-09 18:58 - 000000082 _____ C:\Users\USER\Documents\README.txt
  2019-06-09 18:58 - 2019-06-09 18:58 - 000000082 _____ C:\Users\USER\Desktop\README.txt
  2019-06-09 18:58 - 2019-06-09 18:58 - 000000082 _____ C:\Users\USER\AppData\Roaming\README.txt
  2019-06-09 18:58 - 2019-06-09 18:58 - 000000082 _____ C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2019-06-09 18:58 - 2019-06-09 18:58 - 000000082 _____ C:\Users\USER\AppData\README.txt
  2019-06-09 18:58 - 2019-06-09 18:58 - 000000082 _____ C:\Users\USER\AppData\LocalLow\README.txt
  2019-06-09 18:58 - 2019-06-09 18:58 - 000000082 _____ C:\Users\README.txt
  2019-06-09 18:58 - 2019-06-09 18:58 - 000000082 _____ C:\README.txt
  2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\USER\AppData\Local\README.txt
  2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\sys\README.txt
  2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\sys\Downloads\README.txt
  2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\sys\Documents\README.txt
  2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\sys\Desktop\README.txt
  2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\sys\AppData\Roaming\README.txt
  2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\sys\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\sys\AppData\README.txt
  2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\sys\AppData\LocalLow\README.txt
  2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\sys\AppData\Local\README.txt
  2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\Public\README.txt
  2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\Public\Downloads\README.txt
  2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\Default\README.txt
  2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\Default\Downloads\README.txt
  2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\Default\Documents\README.txt
  2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\Default\Desktop\README.txt
  2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\Default\AppData\Roaming\README.txt
  2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\Default\AppData\README.txt
  2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\Default\AppData\Local\README.txt
  2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\Default User\Downloads\README.txt
  2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\Default User\Documents\README.txt
  2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\Default User\Desktop\README.txt
  2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\Default User\AppData\Roaming\README.txt
  2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\Default User\AppData\README.txt
  2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\Default User\AppData\Local\README.txt
  2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\alkane\README.txt
  2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\alkane\Downloads\README.txt
  2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\alkane\Documents\README.txt
  2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\alkane\Desktop\README.txt
  2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\alkane\AppData\Roaming\README.txt
  2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\alkane\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\alkane\AppData\README.txt
  2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\alkane\AppData\LocalLow\README.txt
  2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\alkane\AppData\Local\README.txt
  2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
  2019-06-09 18:56 - 2019-06-09 18:57 - 000001279 _____ C:\Users\Все пользователи\README.txt
  2019-06-09 18:56 - 2019-06-09 18:57 - 000001279 _____ C:\Users\Все пользователи\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
  2019-06-09 18:56 - 2019-06-09 18:57 - 000001279 _____ C:\Users\Public\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
  2019-06-09 18:56 - 2019-06-09 18:57 - 000001279 _____ C:\Users\Public\Desktop\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
  2019-06-09 18:56 - 2019-06-09 18:57 - 000001279 _____ C:\ProgramData\README.txt
  2019-06-09 18:56 - 2019-06-09 18:57 - 000001279 _____ C:\ProgramData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
  2019-06-09 18:56 - 2019-06-09 18:57 - 000000082 _____ C:\Users\Public\Documents\README.txt
  2019-06-09 18:56 - 2019-06-09 18:57 - 000000082 _____ C:\Users\Public\Desktop\README.txt
  2019-06-09 18:56 - 2019-06-09 18:56 - 000000082 _____ C:\Program Files (x86)\README.txt
  2019-06-09 18:52 - 2019-06-09 18:52 - 000000082 _____ C:\Program Files\README.txt
  2019-06-09 18:51 - 2019-06-09 18:57 - 000001279 _____ C:\Users\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
  2019-06-09 18:51 - 2019-06-09 18:51 - 000000082 _____ C:\Program Files\Common Files\README.txt
  2019-06-09 18:49 - 2019-06-07 04:18 - 000471552 _____ C:\Users\USER\Downloads\tosenderbuild.exe
  2019-06-08 21:56 - 2019-06-09 18:57 - 000000000 ____D C:\Users\sys\AppData\Roaming\Process Hacker 2
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[akok]

как данные расшифровать?

Восстановить из бекапа, эта версия шифровальщика пока не поддается расшифровке.

 

[alkane]

2ой лог
из какого бекапа? не делались резервные копии

 

[Sandor]

не делались резервные копии

Плохо.
Была небольшая возможность восстановить, но если б вы не "лечили" систему самостоятельно.

На будущее проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[alkane]

Готово