Sep 11, 2017, updated at 07:47:06 (UTC)

2581

Kennt Jemand "crypted monkserenen at tvstar com"

Moin,

bei einem Kunden hat eines der unfreundlichen Programme zugeschlagen.
Datensicherung ist aber vorhanden. Mal was Neues.

Die Dateien tragen die Endung ".crypted_monkserenen@tvstar_com".
Google findet dazu gar nichts.

Die ganze IT ist nun aus.
Ob auf einem Desktop eine Info-Datei ist kann ich also erst später vor Ort feststellen.

Hat Jemand Information über das Ding?

Danke

Stefan

Please also mark the comments that contributed to the solution of the article

Content-Key: 348722

Url: https://administrator.de/contentid/348722

Printed on: April 19, 2024 at 05:04 o'clock

20 Comments

Latest comment

Nun ich würde mal sagen das einer in euer System reingekommen ist und die Daten Verschlüsselt hat.
Dazu hat der seine Kontaktadresse (Mail) Hinterlassen da dies so keine Übliche Endung der Cryptoprogramme ist.

Wichtig ist jedoch das ihr die Lücke Findet worüber dies reingekommen ist und diese zumacht.
Dazu ist dies auch eine gute Gelegenheit die Mitarbeiter nochmal zu Informieren wie der Umgang mit Fremden Links/Mails/Anhänge zu handhaben ist.

Hallo,

das war mir so schon klar.
Es war ja aber die Frage ob Jemand Informationen über das Ding hat.
Dann kann ich gezielter schauen.

Viele Grüße

Stefan

Wenn die Suchmaschinen keine Resultate über die Mailadresse liefert sind dies wohl Individuelle Adressen.

Update
Auf einem PC ist eine Datei mit dem Name "how_to_back_files.html".
Darin die Auforderung eine Email-Adresse an monkserenen@tvstar.com zu senden mit der ID und einer kleinen Datei als Test.

Als Name wird "MONKSERENEN DECRYPTOR" angegeben.

Der PC kommt damit erstmal in die Ecke und wird geplättet.
Ich versuche mit dem Nutzer den Hergang zu ermitteln.

Restore ist im Gange.

Ich schreibe dies falls noch Jemand anderes das gleiche Glück wie der Kunde hat.

Viele Grüße

Stefan

Hallo,

Auf einem PC ist eine Datei mit dem Name "how_to_back_files.html".

rein Interessehalber: würdest Du uns nen Screenshot von der File zukommen lassen?

Danke schonmal und viel Glück beim restore.

Grüße

Hier der Inhalt der Datei.
Es sind für mich keine aktiven Inhalte ersichtlich. Ich würde aber trotzdem davon abraten dies als HTML zu speichern und im Browser zu öffnen.

<html>
  <head>
    <meta charset="utf-8"> 

    <style type="text/css"> 

      body {
    font: 15px Tahoma, sans-serif;
    margin: 10px;
    line-height: 25px;
    background-color: #C1AB8F;
      }

      .bold {
      font-weight: bold;
      }
            .xx {
    border: 1px dashed #000;
        background: #E3D5F1;
      }

      .mark {
        background: #D0D0E8;
        padding: 2px 5px;
      }

      .header {
        font-size: 30px;
        height: 50px;
        line-height: 50px;
        font-weight: bold;
        border-bottom: 10px solid #D0D0E8;
      }

      .info {
        background: #D0D0E8;
        border-left: 10px solid #00008B;
      }
      .alert {
        background: #FFE4E4;
        border-left: 10px solid #FF0000;
      }
      .private {
        border: 1px dashed #000;
        background: #FFFFEF;
      }

      .note {
        height: auto;
        padding-bottom: 1px;
        margin: 15px 0;
      }
      .note .title {
        font-weight: bold;
        text-indent: 10px;
        height: 30px;
        line-height: 30px;
        padding-top: 10px;
      }
      .note .mark {
        background: #A2A2B5;
      }
      .note ul {
        margin-top: 0;
      }
      .note pre {
        margin-left: 15px;
        line-height: 13px;
        font-size: 13px;
      }

    </style>
  </head>

  <body>
    <div class="header">Attention! All your files are encrypted.</div> 


  <div class="note alert"> 
      <ul><li>Your documents, photos, databases and other important files have been encrypted cryptographically strong, without the original key recovery is impossible! To decrypt your files you need to buy the special software - 

"MONKSERENEN DECRYPTOR" 

       Using another tools could corrupt your files, in case of using third party software we dont give guarantees that full recovery is possible so use it on your own risk.</li>
        <li>If you want to restore files, write us to the e-mail: 

monkserenen@tvstar.com

         In subject line write "encryption" and attach your personal ID in body of your message also attach to email 3 crypted files. (files have to be less than 10 MB)</li> 
        <li>It is in your interest to respond as soon as possible to ensure the recovery of your files, because we will not store your decryption keys on our server for a long time.</li>
      </ul>
    </div>
        <div class="note private"> 
      <div class="title">Your personal ID</div> 
      <pre>75 8D FB EC 40 5E B9 4C BE 40 3E 61 3E 88 51 51
5B 31 D9 73 94 C1 E8 17 96 D6 D8 24 1B A4 E7 7E
68 DF 26 60 BB 69 73 B5 06 C3 8E 1C B0 82 12 34
....
48 2F 29 2D F6 CE 17 3B FC FB 44 6E E6 87 3C 56
D0 7B 69 69 F0 2E CB 38 DB 1B 2B B9 FC F9 FF 94
</pre><!-- !!! Строку не менять !!! -->
    </div>

  </body>
</html>

Hallo,

Erstmal Dank für deine Müh.

Ich würde aber trotzdem davon abraten dies als HTML zu speichern und im Browser zu öffnen.

Sehe da nichts schlimmeres im Code (Sollte kein Thema sein dass in HTML zu speichern, ..)

Nun wissen wir zumindest ma, wie die File inhaltlich aussieht. Immer gut wie ich finde.

Danke Dir!

Gruß

Update

Dies ist das böse Programm
C:\Users\Public\_xVsN6d2UjxzEGk.exe

Identiiziert von ESET als
Win32/Filecoder.FV Trojaner

Hi, I'm from Colombia.
I have the same problem. I sent an Email for the rescue, and they sent me the response:

Decrypted files by this link https://www.sendspace.com/filegroup/jMMR9Zu%2FOv%2Bn13Fpr7eUnjSuuWD8%2FI ...

How to get the automatic decryptor:

1) Pay 0.26 BTC:
For example, you can buy BTC on one of these sites:

https://localbitcoins.com
https://blockchain.info
https://www.coinbase.com
https://xchange.cc

Bitcoin adress for pay: 1P4dLnirBmrTRQ3SXRooNoqffwLtKauRwU

Send 0.26 BTC for decrypt

2) Send a screenshot of the payment. In the email, enter your personal ID.

3) You will receive automatic decryptor and all files will be restored.

*It is in your best interest to pay as soon as possible to ensure the recovery of your files. As your decryption keys will be deleted from our server exactly after 7 days, and recovery after this period will become impossible.

Please, help me

Please, help me

Fire up your backup!

Zitat von @auxilio:

Please, help me

Just restore your backups. This is the only way to recoer safely.

lks

Hello,

sorry. there are no new information about decrypt.
If you have no backup paying is your only chance. But only 50% chance to get the key.

Stefan

Hi, thanks for your responses. But, I dont have backup. I will cry!!!

Zitat von @auxilio:

Hi, thanks for your responses. But, I dont have backup. I will cry!!!

I' sorry, but some have to learn it the hard way.

For the future try to do backups on a regular time schedule.

Your options are to pay and hope you get the key or just put the harddisk aside and wait for someone publishing a key for decryption, which, imho, maybe never the case.

Nevertheless, heads up and enjoy life.

lks

Zitat von @auxilio:
But, I dont have backup. I will cry!!!

Cry baby cry, momy will come with a bottle of hot chocolate ...

Den merke ich mir, sofern Du irgendwann wieder Probleme gelöst haben möchtest. *Kopfschüttel*

Gruß

Zitat von @nepixl:

Den merke ich mir, sofern Du irgendwann wieder Probleme gelöst haben möchtest. *Kopfschüttel*

Probleme löse ich selber ;-P, gegen nervöses Headbanging gibts Tabletten min Jung

Is any of you a computer engineer?

Look it:

From: ben@mehmetyayla.com

Hello there
I can decrypt ur all files
But I have to take support from our global security company where in the India.
Price will be 2000 USD for this case
If you accept that, please send only encrypted file for demo

Mehmet YAYLA | Computer Engineer

Subject: Please Help me

A group around the world have the key.
I need the key

Zitat von @auxilio:

A group around the world have the key.
I need the key

Stand it like man. Either you pay for notbing or get a gun and shoot your computer.

Or you tell the POTUS to nuke the the evil texans for encr,ption your computer.

lks

Make your wife happy with a gift instead of throwing your money away for nothing.

Was wird das hier, ein Asylum für Ransomware-Opfer??

German Question Viruses, Trojans Security

Hotly discussed

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

WIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 2 Comments

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment