Перейти к содержанию

Рекомендуемые сообщения

Зашифрованы файлы и программы кроме системных.

Приложил лог

приложил сообщение

приложил зашифрованый файл и он же не зашифрованный

CollectionLog-2019.04.22-17.13.zip

FILES ENCRYPTED.txt

fileAndCrypted.rar

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

Шифровальщик похоже на новый вариант Dharma (семейство CrySiS) на данный момент неизвестны удачные случая расшифровки.

Если хотите, очистить остатки, то предоставьте следующий лог:


- Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Сообщите, пожалуйста если у Вас сохранился сам шифровальщик (вредоносное ПО которое привело к шифрованию файлов, предположительно notepad.exe)?

Ссылка на сообщение
Поделиться на другие сайты

RansomwareFileDecryptor 1.0.1668 MUI - определил как CRYSIS, но ни одного файла расшифровать не смог


не уверен сохранился ли. Где его искать? KVRT нашел только трояна в памяти.

FarBar.rar

Ссылка на сообщение
Поделиться на другие сайты

На сервере обнаружены остатки от антивируса Avast, воспользуйтесь утилитой avast remover для их удаления.

U0 aswVmm; no ImagePath

Попробуйте уточнить у пользователя nata, что она запускала перед появлением проблемы? Как вариант письмо в почте, либо какую-то скачанную программу и т.п. В некоторых случаях это результат взлома сервера, если он дступен из вне и использовался легкий к подбору пароль.

 

 

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    Start::
    CreateRestorePoint:
    2019-04-21 17:51 - 2019-04-21 17:51 - 000013914 _____ D:\Users\nata\AppData\Roaming\Info.hta
    2019-04-21 17:51 - 2019-04-21 17:51 - 000000208 _____ D:\FILES ENCRYPTED.txt
    File: D:\Users\Public\Desktop\avast_free_antivirus_setup_online.exe
    End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что сервер возможно будет перезагружен.
Ссылка на сообщение
Поделиться на другие сайты

С авастом только завтра смогу, я сейчас в удаленке.


Сервер извне напрямую недоступен, но похоже что Вы правы относительно взлома. Пользователь nata не используется (по крайней мере не должен), но его рабочий каталог заражен (у остальных пользователей - нет)


к тому же время в воскресенье вечером, бюджетная контора

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

проверьте пожалуйста следующий файл на независимой системе https://www.virustotal.com

D:\Users\Public\Desktop\avast_free_antivirus_setup_online.exe
  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    Start::
    CreateRestorePoint:
    2019-04-21 17:51 - 2019-04-21 17:51 - 000013914 _____ D:\Users\nata\AppData\Roaming\Info.hta
    End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что сервер возможно будет перезагружен.
Ссылка на сообщение
Поделиться на другие сайты

Однако много лопатила программа

Речь о шифровальщике?

 

Вам знакома следующее приложение?

 

%SystemDrive%\USERS\IRINA\APPDATA\LOCAL\CMSCLIENTNG\CMSCLIENTNG.EXE

В логах шифровальщика не нашел.

P.S. В большенстве случаев при запросе на расшифровку в тех. поддержку Лаборатории Касперского без шифровальщика не будет положителен.

Ссылка на сообщение
Поделиться на другие сайты

Образ автозапуска и сохранение файла неожиданно для меня долго делался.

cms... - это одна из приблуд казначейства (или налоговиков) для работы с ключами доступа и сертификатами

Ссылка на сообщение
Поделиться на другие сайты

cms... - это одна из приблуд казначейства (или налоговиков) для работы с ключами доступа и сертификатами

Хорошо, видимо у стороннего антивируса (Symantec) на него - ложное срабатывание.

 

Я воспользовался случаем (квотой на запрос) создал запрос по вашей проблеме в тех. поддержку в Лабораторию Касперского (ID #INC000010384105). Однако гарантировать какой-то положительный исход не могу.

P.S. Ответ может занять около 2-10 дней в зависимости от загруженности тех. поддержки. Если у Вас есть лицензия на продукты различных антивирусных вендоров то пробуйте создать запрос сами.

Ссылка на сообщение
Поделиться на другие сайты

Спасибо

я тут посмотрел логи, таки целенаправленный подбор имен и паролей шел. Там в приложении даже ip, который отдали оставлен. Причем программа даже не заморачивалась, что вход уже получен, продолжала долбить другие варианты.

А утром нашел еще тему англоязычную, с теми же параметрами заражения, что у меня: https://www.bleepingcomputer.com/forums/t/696218/infected-win-7-mrcryptaolcomldpr/ - компашка в воскресенье поработала на славу.

Это так, вдруг чем поможет.

post-44535-0-69020300-1555963791_thumb.png

Ссылка на сообщение
Поделиться на другие сайты

Спасибо

я тут посмотрел логи, таки целенаправленный подбор имен и паролей шел. Там в приложении даже ip, который отдали оставлен. Причем программа даже не заморачивалась, что вход уже получен, продолжала долбить другие варианты.

А утром нашел еще тему англоязычную, с теми же параметрами заражения, что у меня: https://www.bleepingcomputer.com/forums/t/696218/infected-win-7-mrcryptaolcomldpr/ - компашка в воскресенье поработала на славу.

Это так, вдруг чем поможет.

Если вам это ip-адрес не знаком, то попробуйте также обратиться в полицию, в случае если злоумышлинник забыл скрыть свой ip-адрес или зачистить логи подключений (как они обыно делают).

 

P.S. Обычно когда ловят злоумышлинников у них не остается других возможностей как идти на сделку с правосудием.

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • tized-NSK
      От tized-NSK
      Здравствуйте, у меня точно такаяже проблема с шифрованием файлов формат rty не подскажете как их расшифровать?  ShadeDecryptor не помог ,Kaspersky XoristDecryptor тоже не помог
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Александр Нефёдов
      От Александр Нефёдов
      Добрый день.
      Столкнулся с проблемой блокировки загрузки ОС Windows Server 2016, и других.
      За ночь заблочило десять машин, которые не выключались.
      Пример блокировки на скрине.
      Диски не читаются, типа raw формат, поэтому как таковых зашифрованных файлов нет, вероятно зашифрован весь диск.
      вариант из статьи(https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html) с AOMEI не помог.
       
      За любые идеи которые помогу восстановить информацию буду благодарен .

    • AlexDreyk
      От AlexDreyk
      Добрый день! Просьба помочь с расшифровкой
      Addition.txt FRST.txt Зашифрованные файлы.zip
    • dsever
      От dsever
      Сегодня после выходных обнаружили проблему. Два сервера - все данные зашифрованы.  основная проблема с 1С файлы зашифрованы + бэкапы тоже. DrWEB пишет, что вирус попал по RDP, "Файл шифровальщика находится по пути
      C:\users\администратор.win-8anssg9mkch\appdata\local\7af1be1c-1606-8166-99e6-80b4a9786b07\BABKAALYOEBALO.exe". Так же вирус зашифровал все расшаренные файлы на других серверах, но до баз SQL не добрался.
       
      BABKAALYOEBALO_DECRYPTION.txt
    • vyz-project
      От vyz-project
      На рабочем компьютере 19.11.23 начиная примерно в 22:30 (судя по дате изменения) были зашифрованы все файлы. Теперь они все с расширением .id[705C9723-3351].[blankqq@tuta.io].elpy
      На данный момент зараженный компьютер изолирован. Но он был в локальной сети до этого момента.
      Логи и файлы приложил.
      pdf_files.7z Addition.txt FRST.txt
×
×
  • Создать...