a4t3rburn3r
Новый пользователь
- Сообщения
- 9
- Реакции
- 4
В начале недели мне позвонили с просьбой о помощи - в одной маленькой аптеке взломали и зашифровали сервер 1С. Естественно по классике - не обновленный 2008 r2 + прямой доступ RDP из внешней сети + встроенный антивирус майкрософт + пароли админов из серии "321". Шифровальщик уже известный тут на форуме и не только, добавляет расширение - [bitcoin1@foxmail.com].harma. Я думаю его анализировали. Я вел долгую переписку со злоумышленниками, мы заплатили им 1000 долл. США и не получили ключи для дешифрования. Я настаивал не платить, но клиенты приняли такое решение, был куплен биткойн и проведена оплата. После оплаты злоумышленники потребовали еще такую же сумму за ключи. Т.к. шансы получить ключи мизерные, я считаю что платить не следует. Да и денег таких уже нет.
Касательно вируса. После заражения машины вирус шифрует файлы и в определенное время выводит на дисплей сообщение о том, что данные зашифрованы. Во всех файлах добавляется расширение [bitcoin1@foxmail.com].harma, при чем шифрует он все без разбору включая ярлыки и файлы без расширения - все до чего добирается(я так и не понял зачем шифровать ярлыки, может кто знает подскажите). В корне диска оставляет файл с именем "FILES ENCRYPTED.txt" и текстом:
all your data has been locked us
You want to return?
Write email bitcoin1@foxmail.com
При попытке связаться с злоумышленниками по адресу bitcoin1@foxmail.com, отвечает оператор Chen Lee с адреса bitcoin1fox@gmail.com. Изначальный выкуп 3000 долл. в биткойнах. После "торгов" цена упала до 1000 долл. при условии "полной и финальной дешифрации" при оплате до конца недели - именно так было сказано в письме от злоумышленников. Было дано согласие на оплату, куплен биткойн и переведен. После этого злоумышленники дали ссылку на программу (к слову она с ошибками, т.к. не все функции работают корректно). Программа декриптор. После запуска программа сканирует диски, находит зашифрованные файлы и вытягивает из них зашифрованные ключи. У нас на дисках было найдено что-то около 8 ключей. А значит криптограф во время шифрования генерирует разные ключи для шифрования разных групп файлов. Соответственно нет единого ключа для расшифровки всех файлов в системе. Затем утиль выводит эти зашифрованные ключи в виде какого-то хеша который надо сохранить в файл и отправить злоумышленникам (эта функция у меня не работала, пришлось скопировать текст ручками в обычный блокнот, сохранить и отправить). Злоумышленники их декритуют и соответсвенно присылают следующее письмо с требованием удвоить выкуп, мол была уплаченна сумма за первую часть операции дешифрования. Дальше второй части мы не пошли, т.к. нас уже обманули и соврали. Естественно для подтверждения "своей честности" они приложили список почтовых адресов жертв которые уплатили выкупи и получили ключи для дешифровки. Злоумышленники грубы, не стесняються обзывать жерт. Мне писали что я тупой идиот и трачу их время, не умею читать инструкции.
Во время "переговоров" злоумышленникам был отправлен зашифрованный файл, на старом годичном диске от сервера(была замена диска на ssd, что конечно усугубило ситуацию) я нашел очень древний файл, который давно не изменялся и нашел его же зашифрованную копию. Злоумышленникам был отправлен зашифрованный файл, они его дешифровали и я сверил контрольную сумму - они могут дешифровать файлы это 100%, SHA512 сошлась. Сейчас пытаюсь получить хотя бы один ключ для дешифровки из хеша. На текущий момент диск с зашифрованными файлами вынут из сервера. По необходимости подключаю как внешний. Образцы зашифрованного и не зашифрованного файлов в архиве. Так же там сообщение об выкупе, хеши ключей, и декриптор. Сам вирус я не искал, побоялся трогать диск. Но могу попробовать найти. Есть результаты сканирования антивирусом и походу его грохнули до меня. По крайней мере я не нашел файлов после того как диск мне передали. Тем более я не первый к кому попал зашифрованный сервер. Результаты сканирования так же в архиве. Предполагаю файл 1bitc.exe это он и есть. Но это не точно.
Я понимаю что дешифровки не существует. Но это больше информационное сообщение - знайте что делают злоумышленники и с чем придется иметь дело. Ну и пример файлов для анализа. Хотя от мыслей по поводу не отказался бы.
P.S. номер кошелька на который требуют выкуп - 1JuKvC2YcDyXNNz2eoFmFENHGFJUSCKocM
Касательно вируса. После заражения машины вирус шифрует файлы и в определенное время выводит на дисплей сообщение о том, что данные зашифрованы. Во всех файлах добавляется расширение [bitcoin1@foxmail.com].harma, при чем шифрует он все без разбору включая ярлыки и файлы без расширения - все до чего добирается(я так и не понял зачем шифровать ярлыки, может кто знает подскажите). В корне диска оставляет файл с именем "FILES ENCRYPTED.txt" и текстом:
all your data has been locked us
You want to return?
Write email bitcoin1@foxmail.com
При попытке связаться с злоумышленниками по адресу bitcoin1@foxmail.com, отвечает оператор Chen Lee с адреса bitcoin1fox@gmail.com. Изначальный выкуп 3000 долл. в биткойнах. После "торгов" цена упала до 1000 долл. при условии "полной и финальной дешифрации" при оплате до конца недели - именно так было сказано в письме от злоумышленников. Было дано согласие на оплату, куплен биткойн и переведен. После этого злоумышленники дали ссылку на программу (к слову она с ошибками, т.к. не все функции работают корректно). Программа декриптор. После запуска программа сканирует диски, находит зашифрованные файлы и вытягивает из них зашифрованные ключи. У нас на дисках было найдено что-то около 8 ключей. А значит криптограф во время шифрования генерирует разные ключи для шифрования разных групп файлов. Соответственно нет единого ключа для расшифровки всех файлов в системе. Затем утиль выводит эти зашифрованные ключи в виде какого-то хеша который надо сохранить в файл и отправить злоумышленникам (эта функция у меня не работала, пришлось скопировать текст ручками в обычный блокнот, сохранить и отправить). Злоумышленники их декритуют и соответсвенно присылают следующее письмо с требованием удвоить выкуп, мол была уплаченна сумма за первую часть операции дешифрования. Дальше второй части мы не пошли, т.к. нас уже обманули и соврали. Естественно для подтверждения "своей честности" они приложили список почтовых адресов жертв которые уплатили выкупи и получили ключи для дешифровки. Злоумышленники грубы, не стесняються обзывать жерт. Мне писали что я тупой идиот и трачу их время, не умею читать инструкции.
Во время "переговоров" злоумышленникам был отправлен зашифрованный файл, на старом годичном диске от сервера(была замена диска на ssd, что конечно усугубило ситуацию) я нашел очень древний файл, который давно не изменялся и нашел его же зашифрованную копию. Злоумышленникам был отправлен зашифрованный файл, они его дешифровали и я сверил контрольную сумму - они могут дешифровать файлы это 100%, SHA512 сошлась. Сейчас пытаюсь получить хотя бы один ключ для дешифровки из хеша. На текущий момент диск с зашифрованными файлами вынут из сервера. По необходимости подключаю как внешний. Образцы зашифрованного и не зашифрованного файлов в архиве. Так же там сообщение об выкупе, хеши ключей, и декриптор. Сам вирус я не искал, побоялся трогать диск. Но могу попробовать найти. Есть результаты сканирования антивирусом и походу его грохнули до меня. По крайней мере я не нашел файлов после того как диск мне передали. Тем более я не первый к кому попал зашифрованный сервер. Результаты сканирования так же в архиве. Предполагаю файл 1bitc.exe это он и есть. Но это не точно.
Я понимаю что дешифровки не существует. Но это больше информационное сообщение - знайте что делают злоумышленники и с чем придется иметь дело. Ну и пример файлов для анализа. Хотя от мыслей по поводу не отказался бы.
P.S. номер кошелька на который требуют выкуп - 1JuKvC2YcDyXNNz2eoFmFENHGFJUSCKocM
Последнее редактирование:
