Показано с 1 по 14 из 14.

Помогите!!! Через RDP зашифровали данные (заявка № 167233)

  1. #1
    Junior Member Репутация
    Регистрация
    25.09.2014
    Сообщений
    6
    Вес репутации
    35

    Thumbs up Помогите!!! Через RDP зашифровали данные

    Добрый день. У нас проблема..взломали сервер.. зашифровали все данные.. файлы с расширением .FUCKED
    ссылки на зашифрованные файлы:
    http://dfiles.ru/files/qld6crjmh
    http://dfiles.ru/files/vbxiusk9v

    текст сообщения в окошке при запуске системы после приветствия:

    ВНИМАНИЕ!!!
    ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ. КОЛ-ВО ПОПЫТОК ВВОДА ПАРОЛЯ - 10.
    НЕ РЕКОМЕНДУЕТСЯ:
    - ЗАКРЫВАТЬ ОКОШКО ДЛЯ ВВОДА ПАРОЛЯ, КОТОРОЕ ВЫСКАКИВАЕТ ПОСЛЕ ПРИВЕТСТВИЯ;
    - ПРОВЕРЯТЬ КОМП АНТИВИРУСОМ;
    - ПЕРЕУСТАНАВЛИВАТЬ ВИНДОВС.

    ВСЕ ЭТИ ДЕЙСТВИЯ ТОЛЬКО УСЛОЖНЯТ ВАМ ЖИЗНЬ, ХОТЯ ФАЙЛЫ СКОРЕЕ ВСЕГО ЕЩЕ МОЖНО БУДЕТ ВОССТАНОВИТЬ, НАПИСАВ НАМ. НЕ УСЛОЖНЯЙТЕ СВОЕ ПОЛОЖЕНИЕ, ЛУЧШЕ ПИШИТЕ НА:
    [email protected]

    И ВСЕ БУДЕТ ХОРОШО. ДО СКОРОГО.

    логи прикрепляем..
    Вложения Вложения
    Последний раз редактировалось MaDXaM; 25.09.2014 в 15:38. Причина: добавляю лог uVS и картинку зашифрованную

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) MaDXaM, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Логи в порядке

    С расшифровкой не поможем
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    25.09.2014
    Сообщений
    6
    Вес репутации
    35
    Цитата Сообщение от thyrex Посмотреть сообщение
    Логи в порядке

    С расшифровкой не поможем
    как быть? может мы логи неправильно сделали? или еще что то?

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Когда заходят через RDP, все следы запускаемых программ обычно злоумышленники зачищают. Как предлагаете расшифровать то, о чем ничегошеньки неизвестно?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    25.09.2014
    Сообщений
    6
    Вес репутации
    35
    Цитата Сообщение от thyrex Посмотреть сообщение
    Когда заходят через RDP, все следы запускаемых программ обычно злоумышленники зачищают. Как предлагаете расшифровать то, о чем ничегошеньки неизвестно?
    вариант отправлять им денег остается?

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Цитата Сообщение от MaDXaM Посмотреть сообщение
    вариант отправлять им денег остается?
    Я думаю мы вам в понедельник сможем помочь.

    С расшифровкой не поможем
    А я думаю что поможем, но чуть позже.

    - - - - -Добавлено - - - - -

    Выполните скрипт в uVS:

    Код:
    ;uVS v3.83 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.0
    v383c
    breg
    
    zoo E:\АРХИВ\BASE_NEW 2014-09-22 08;00;12 (ПОЛНЫЙ)\ACCOUNTINGBASE\1CV8FTXT\EBRUNOUPX.CR2.EXE
    delall E:\АРХИВ\BASE_NEW 2014-09-22 08;00;12 (ПОЛНЫЙ)\ACCOUNTINGBASE\1CV8FTXT\EBRUNOUPX.CR2.EXE
    del %SystemDrive%\USERS\МАКСИМ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
    czoo
    Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над первым сообщением в теме.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  9. #8
    Junior Member Репутация
    Регистрация
    25.09.2014
    Сообщений
    6
    Вес репутации
    35
    очень сильно надеемся на вашу помощь..

    скрипт выполнил..

    единственное что компьютер сам не перезагрузился и я не перезагрузил его.. и папка ZOO пустая.. это нормально?

    но в корне папки uVS появился архив с датой и временем выполнения скрипта.. отправил всю папку uVS в архиве..

    - - - - -Добавлено - - - - -

    Цитата Сообщение от mike 1 Посмотреть сообщение
    Я думаю мы вам в понедельник сможем помочь.


    А я думаю что поможем, но чуть позже.

    - - - - -Добавлено - - - - -

    Выполните скрипт в uVS:

    Код:
    ;uVS v3.83 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.0
    v383c
    breg
    
    zoo E:\АРХИВ\BASE_NEW 2014-09-22 08;00;12 (ПОЛНЫЙ)\ACCOUNTINGBASE\1CV8FTXT\EBRUNOUPX.CR2.EXE
    delall E:\АРХИВ\BASE_NEW 2014-09-22 08;00;12 (ПОЛНЫЙ)\ACCOUNTINGBASE\1CV8FTXT\EBRUNOUPX.CR2.EXE
    del %SystemDrive%\USERS\МАКСИМ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
    czoo
    Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над первым сообщением в теме.
    Или я может что то выполнил неправильно?

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    единственное что компьютер сам не перезагрузился и я не перезагрузил его.. и папка ZOO пустая.. это нормально?
    Да это нормально. В понедельник напишите.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  11. #10
    Junior Member Репутация
    Регистрация
    25.09.2014
    Сообщений
    6
    Вес репутации
    35
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Да это нормально. В понедельник напишите.
    извините не понял что написать в понедельник?

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Цитата Сообщение от MaDXaM Посмотреть сообщение
    извините не понял что написать в понедельник?
    А уже сделали расшифровку для вашего варианта. Спасибо Владимиру Мартьянову.

    information

    Информация



    Скачайте te94decrypt.exe и сохраните в корень диска С.

    В командной строке введите:
    Код:
    C:\te94decrypt.exe -k 476
    Внимание!!!
    1. Для полной расшифровки потребуется суммарное место на дисках, приблизительно равное месту, занимаемому зашифрованными файлами, т.к. утилита их не удаляет

    2. Удаляйте зашифрованные копии только после того, как убедитесь, что файлы успешно дешифровались



    Последний раз редактировалось mike 1; 26.09.2014 в 16:22.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  13. #12
    Junior Member Репутация
    Регистрация
    25.09.2014
    Сообщений
    6
    Вес репутации
    35
    Цитата Сообщение от mike 1 Посмотреть сообщение
    А уже сделали расшифровку для вашего варианта. Спасибо Владимиру Мартьянову.

    information

    Информация



    Скачайте te94decrypt.exe и сохраните в корень диска С.

    В командной строке введите:
    Код:
    C:\te94decrypt.exe -k 476
    Внимание!!!
    1. Для полной расшифровки потребуется суммарное место на дисках, приблизительно равное месту, занимаемому зашифрованными файлами, т.к. утилита их не удаляет

    2. Удаляйте зашифрованные копии только после того, как убедитесь, что файлы успешно дешифровались



    блин, мужики спасибо вам огромное!!!!!! все расшифровалось)) вы просто мегачеловеки))

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    var
    LogPath : string;
    ScriptPath : string;
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
    begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
    else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

    Советы и рекомендации после лечения компьютера
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 67
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) MaDXaM, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Зашифровали данные.
      От Aleksey'K в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 10.09.2014, 13:33
    2. Зашифровали данные. Relock@qq_com. помогите
      От Typr в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 17.03.2014, 12:18
    3. Ответов: 24
      Последнее сообщение: 12.03.2014, 16:50
    4. Ответов: 6
      Последнее сообщение: 11.03.2014, 13:07
    5. Ответов: 10
      Последнее сообщение: 07.11.2013, 13:45

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00302 seconds with 20 queries