Решена с расшифровкой. Шифровальщик email-butterfly.iron@aol.com.ver-CS 1.6.id-.fname-XXXXXX

Статус
В этой теме нельзя размещать новые ответы.

Bosco

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
Доброго дня, Многоуважаемые! Молю о помощи! Ситуация аналогична этому случаю. Сегодня утром обнаружили. В событиях видны попытки брутфорса по RDP.
Файлы прилагаю. Пожалуйста помогите!
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,303
Реакции
1,807
Баллы
563
Здравствуйте!

Сервер после заражения перезагружали?
К сожалению, для этой версии вымогателя расшифровки нет.
Если нужна помощь в очистке следов, дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
  • Like
Реакции: akok

Bosco

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
Сервер выключили, как только заметили проблему, в надежде сохранить хоть что нибудь...
А есть ли хоть малейший шанс, что в ближайшее время появится расшифровка?

Файлы приложил
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,303
Реакции
1,807
Баллы
563
Определённо не скажем. Может и вовсе не появиться.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    2019-06-30 02:40 - 2019-06-30 02:40 - 000000783 _____ C:\Users\Все пользователи\email-butterfly.iron@aol.com.ver-CS 1.6.id-.fname-README.txt.cs16
    2019-06-30 02:40 - 2019-06-30 02:40 - 000000783 _____ C:\Users\Public\Documents\email-butterfly.iron@aol.com.ver-CS 1.6.id-.fname-README.txt.cs16
    2019-06-30 02:40 - 2019-06-30 02:40 - 000000783 _____ C:\ProgramData\email-butterfly.iron@aol.com.ver-CS 1.6.id-.fname-README.txt.cs16
    2019-06-30 02:40 - 2019-06-30 02:40 - 000000069 _____ C:\Users\Все пользователи\README.txt
    2019-06-30 02:40 - 2019-06-30 02:40 - 000000069 _____ C:\Users\Public\README.txt
    2019-06-30 02:40 - 2019-06-30 02:40 - 000000069 _____ C:\Users\Public\Downloads\README.txt
    2019-06-30 02:40 - 2019-06-30 02:40 - 000000069 _____ C:\Users\Public\Documents\README.txt
    2019-06-30 02:40 - 2019-06-30 02:40 - 000000069 _____ C:\Users\Irina\README.txt
    2019-06-30 02:40 - 2019-06-30 02:40 - 000000069 _____ C:\Users\Irina\Downloads\README.txt
    2019-06-30 02:40 - 2019-06-30 02:40 - 000000069 _____ C:\Users\Irina\Documents\README.txt
    2019-06-30 02:40 - 2019-06-30 02:40 - 000000069 _____ C:\Users\Irina\Desktop\README.txt
    2019-06-30 02:40 - 2019-06-30 02:40 - 000000069 _____ C:\Users\Irina\AppData\Roaming\README.txt
    2019-06-30 02:40 - 2019-06-30 02:40 - 000000069 _____ C:\Users\Irina\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-30 02:40 - 2019-06-30 02:40 - 000000069 _____ C:\Users\Irina\AppData\README.txt
    2019-06-30 02:40 - 2019-06-30 02:40 - 000000069 _____ C:\Users\Irina\AppData\LocalLow\README.txt
    2019-06-30 02:40 - 2019-06-30 02:40 - 000000069 _____ C:\Users\Irina\AppData\Local\Temp\README.txt
    2019-06-30 02:40 - 2019-06-30 02:40 - 000000069 _____ C:\ProgramData\README.txt
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Bosco

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
А Вы не подскажите с какой учетной записи это произошло? Или каким образом получили шифровальщик?
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,303
Реакции
1,807
Баллы
563
Видно по скрипту - C:\Users\Irina\ в 2:40 сегодня.
На второй вопрос вы сами ответили в начале:
В событиях видны попытки брутфорса по RDP.
Пароль на RDP меняйте.
Проверьте уязвимые места:
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
 

Bosco

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
AVZ выдал окно, "Часто используемые уязвимости не обнаружены" и "Скрипт выполнен без ошибок"
 

Bosco

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
Скажите а ОС переустанавливать не нужно? повторно шифровальщик не заработает?
 

akok

Команда форума
Администратор
Сообщения
17,467
Реакции
13,373
Баллы
2,203
Нет, не нужно. Повторное заражение возможно если только подберут еще один пароль на RDP
 

Bosco

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
Спасибо. В любом случае, большое спасибо, за помощь и уделенное время. Очень жаль, что нет расшифровки на текущий момент.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,303
Реакции
1,807
Баллы
563
У ЛК появилась расшифровка этой версии вымогателя.
При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
 

Bosco

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,303
Реакции
1,807
Баллы
563
Результат сообщите здесь, пожалуйста.
 

Bosco

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
Результат положительный! В Касперском помогли! Дали утилиту, но ей нужно обязательно указать один зашифрованный файл и один оригинальный и размером не менее 50КБ. Если необходимо могу скинуть программку. Большое спасибо команде SafeZone за первоначальную помощь и сообщение о том что вышел дешифратор у Касперского!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу