Решена Все файлы зашифровались с расширением .criptokod

Статус
В этой теме нельзя размещать новые ответы.

Gunslinger

Новый пользователь
Сообщения
19
Реакции
0
Здравствуйте! Словили на 2003 Сервере шифровальщик. Шифрует все подряд, добавляет расширение .criptokod. Сначала просили 100$ - заплатили, потом еще 100 - заплатили, сейчас просят еще 100. Понятно, что если заплатим, еще запросят. Платить более не собираемся. Нам все-таки скинули файл-дешифровщик, но он требует ввода пароля (за 100$ нам вроде бы его пришлют, но веры уже им нет). Пожалуйста, помогите, на серваке очень много важной информации. Во вложении прикрепляю файл-дешифровщик, который нам прислали. Видел на этом сайте, что кто-то обращался с такой же проблемой, которая успешно решилась. Заранее спасибо за помощь!
 

Вложения

Сейчас заметил еще одно сообщение от уже другого шифровальщика:

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
350035783CBAB7FBC8E2|0
на электронный адрес decode0987@gmail.com или decode098<at>gmail.com.
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
350035783CBAB7FBC8E2|0
to e-mail address decode0987@gmail.com or decode098@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.

Сообщение от 1 шифровальщика:

ЧТО ДЕЛАТЬ ДЛЯ РАЗБЛОКИРОВКИ ФАЙЛОВ

Все просто, как Вы возможно и думали.
Необходимо оплатить 100$ (или в рублях, или в зайчиках - все равно,
главное, чтобы сумма была эквивалентна 100$).

Оплату делаете на лайткоин (Litecoin, LTC) кошелек номер:

LUgUo8vWNFTizCUYNWkkJXHHGssREPLjH5

Это можно сделать как напрямую со своего лайткоин кошелька или
биржи криптовалют (например btc-e.com) так и через обменник
электронных валют, подходящий можно найти например тут:

http://www.bestchange.ru

Мы НЕ КОНСУЛЬТИРУЕМ по деталям проведения платежа, для
этого есть поддержка (саппорт) на сайте биржи или обменника -
туда и пишите, если что-то непонятно.

ВНИМАНИЕ! ЕСЛИ ПЛАТЕЖ НЕ ПОСТУПИТ НА ПРОТЯЖЕНИИ
2 СУТОК С МОМЕНТА ОТПРАВКИ ВАМ ЭТОГО ПИСЬМА -
СУММА ОПЛАТЫ БУДЕТ УВЕЛИЧЕНА В 2 РАЗА, ТАК ЧТО НЕ ТЯНИТЕ.
ФАЙЛЫ ЗАШИФРОВАНЫ СТОЙКИМ АЛГОРИТМОМ, И НИКТО
КРОМЕ НАС ВАМ ИХ НЕ РАСШИФРУЕТ!!!

На некоторых биржах и обменниках есть холд (задержка) обмена
на 2-3 дня по данному направлению. Учитывайте это и не пишите
зря - как только оплата пройдет и мы увидим ее на указанном выше
кошельке, Вы получите все необходимое для расшифровки ваших
файлов. Пришлем программу для расшифровки и пароль - запустите
прогу, введете пароль - подождете несколько минут - и все файлы
расшифруются.

Информацию про обменники можно найти в интернете забив в поисковик:
обменять яндекс (киви, вебмани) на лайткоин или подобрать на сайте,
ссылка на который есть выше. Все несложно, если что непонятно - можно
спросить у поддержки обменника. Насчет ускорения платежа - писать туда же.

Насчет пробной расшифровки - мы этим не занимаемся, так как шифровщик
шифрует все доступные ему файлы, и нам придется шифровать и расшифровывать
целый компьютер вместе с Вашим файлом, если бы мы это делали для каждого кто
просит, нам бы пришлось только этим и заниматься весь день.
Мы не страховая компания - давать гарантии. Придется поверить на слово.

Спасибо за внимание и не тяните с оплатой.

asdfgh 12345.

Похоже нас в добавок еще и заддосили: логи роутера забиты отправкой пакетов на разные порты по адресу 172.245.83.128, хост-файл изменен. Настройки сети сбиты: сбились ip, маска, шлюз (стоит автоматическое назначение, хотя все было прописано вручную), в dns-серверах прописались 172.245.83.128; 8.8.4.4 (т.к. dns прописаны на роутере, на сервере и клиентских машинах они не прописаны).
 
Последнее редактирование модератором:
Выполнять написанное строго в указанном порядке

C:\WaspAce\plugins\pln\winlogin.exe заархивируйте с паролем virus, выложите на rghost.ru и пришлите ссылку на скачивание мне в личные сообщения

Выполните скрипт в AVZ
Код:
begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\WaspAce\plugins\pln\winlogin.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','32');
 DeleteFile('C:\WaspAce\plugins\pln\winlogin.exe','32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-4152891876-2739152126-2020701388-1011\Software\Microsoft\Windows\CurrentVersion\Run','Winlogon');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-4152891876-2739152126-2020701388-1011\Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
Компьютер перезагрузите вручную.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи этой формы


Сделайте новые логи по правилам
 
Все сделал, как Вы просили, файлы отправил.
 
Файл получил. Эти недоумки и сами не смогут расшифровать файлы с расширением .criptokod. Я напишу дешифратор, но на это нужно время и не уверен, что еще и массу работы не придется Вам провести и самостоятельно.
Есть у Вас возможность найти все подобные зашифрованные файлы и выложить на YandexDisk?

Со вторым шифровальщиком помогут только сами злодеи.

Ждем логи после выполнения скрипта
 
thyrex, regist, спасибо! Второй шифровальшик, как я понял, ничего не сделал, т.к. файлы уже зашифрованы criptokod. Логи отправил, надеюсь все сделал правильно на этот раз.
 
Логи отправил, надеюсь все сделал правильно на этот раз.
Логи прикрепляют к сообщению :) А по форме отправляют только карантин

Есть у Вас возможность найти все подобные зашифрованные файлы и выложить на YandexDisk?
Как насчет этого?
 
Всего три файла зашифрованы? :)
 
Все зашифрованы, я скинул с разными расширениями, pdf файлы не тронуты. Скажите что еще прислать?
 
Я просил прислать все зашифрованные, а не по одному разных форматов.
 
Так это получается гигантский объем, учитывая базы 1С и их бэкапы...
 
Или я так понимаю, Вы пришлете не сам дешифратор, а уже расшифрованные файлы??
 
Последнее редактирование модератором:
Дело в том, что данный "шифровальщик" в процессе работы генерирует случайное число из отрезка [0;9]. Оно означает, сколько байт файл задействуется в работе вируса. Число 0 означает, что у файла просто меняется расширение. Так что файлы мне нужны для попытки написать что-то более менее универсальное
учитывая ... бэкапы
пока без них можно обойтись
 
Понял, спасибо за помощь, заархивирую и скину Яндекс диск. Только это займет время...интернет на работе не айс...
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу