Решена без расшифровки Шифровальщик Kaspersky

[speexz]

Здравствуйте. Вчера 8 числа в 5:40 были зашифрованы все файлы, включая файлы, которые находились на сетевом диске.
Само сообщение от вируса записано в файле Kaspersky_Decryption.txt

В предыдущей теме посоветовали проделать следующее:

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имякомпьютерадата_сканирования". Лог необходимо сохранить на рабочем столе.
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме

Сделал. Приложил к сообщению.

 

[speexz]

Возможно ли как-то расшифровать файлы? Мы заплатим.
Стоит ли связываться с создателем вируса и отправлять ему деньги?

 

[Sandor]

Здравствуйте!

К сожалению, расшифровки этого типа вымогателя нет.
В той теме, где был запрошен лог uVS, вымогатель был активен и это была попытка получить образец зловреда. В вашем же случае вымогателя в системе уже нет.

 

[speexz]

Нашёл вирусняк, возможно он как раз и шифрует файлы. Сам взломщик скорее всего получил доступ к компьютеру, на котором всё было зашифровано, через зараженный домашний компьютер. Как защищиться от этого, с трудом представляю, если только запретить удаленный доступ. Не среагировал на вирус даже запущенный в системе Касперский.

 

[speexz]

Этот архив как раз был открыт в RDP-сессии. Злоумышленник видимо забыл его закрыть и удалить.

 

[Sandor]

У меня среагировал

UDS:Trojan-Ransom.Win32.Crypmod.axrz

запретить удаленный доступ

Именно так, или предоставить доступ, спрятав его за VPN.

 

[speexz]

Возможно это как-то поможет в борьбе с данным вирусом. Пришлось немаленькую сумму заплатить злоумышленнику.
Он в ответ прислал следующее:

run it with admin rights on your server
We also recommend copying the most important file to an external hard drive before decryption. After decryption1) Before you had a bad password, I recommend you to use Strong Random Password Generator to make a good pass 2) All your accounts must have different passwords 3) Install a good antivirus, I recommend Sophos 4) Close the rdp connection !!! It's very vulnerable! Use Anydesk or Team Viewer5) After your work, shut down your servers !!! 6) Buy external backup drive and do it every week after your work! 7) You have been hacked due to open rdp connection and wrong password External backup must be done every week and finish after backup I recommend to hide it in a safe place
about soft - after virus scanning your server you must run my soft with admin rights.Press decrypt and wait
it will do all in auto mode
If any issues you can write I will help
1)Scan your server on viruses and delete it

2)turn off antivirus

3)download my soft

И файл MOtgH1dj2eZQ8nA-uqMu9lz1dIuCI8m6xa4u87JZxHg_KASPERSKY.exe, при запуске которого появляется ещё один: decr_payload.exe. Утилита по умолчанию расшифровывает все локальные и подключенные сетевые диски, удалить их из списка нельзя. Также можно указать дополнительный путь (бесполезная функция), т.к. см. предыдущее предложение. Откуда утилита берёт ключ для расшифровки - не знаю, возможно из самого названия файла утилиты. Утилиту запускал на том же компьютере, на котором был активирован этот вирус. После дешифровки не замечал модифицированных exe файлов. Утилита вроде как безобидная, хотя на virustotal много антивирусов ругается. Всё же лучше перед запуском обезопасить остальные файлы.
bc1qe00xw4pfalu8ymyqy70xm7k6wz7py0aes4y9nr - биткоин-кошелёк злоумышленника.

Именно так, или предоставить доступ, спрятав его за VPN.

Так скоро и до vpn недалеко, ведь никаких логинов и паролей от vpn не нужно вводить, они сохраняются в системе.
Проблема ещё в том, что такое может произойти с любым сотрудником и все его файлы на локальном компьютере и на сетевом диске будут зашифрованы. А если это произойдёт с сотрудником, являющимся Администратором на сетевом компьютере, то это ещё хуже - будут зашифрованы все файлы на сетевом диске.

 

[Sandor]

Другим дешифратор не поможет, нужен приватный ключ.

Пришлось немаленькую сумму заплатить злоумышленнику

Жаль.

Соберите логи по правилам раздела, посмотрим не осталось ли следов.

 

[speexz]

Другим дешифратор не поможет, нужен приватный ключ.


Жаль.

Соберите логи по правилам раздела, посмотрим не осталось ли следов.

понятное дело, что пришлось переустанавливать винду. кто будет продолжать работать на взломанной винде?

 

[Sandor]

Тогда можете проверить уязвимые места и устаревшее критическое ПО:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.