Перейти к содержанию

.[cryptocash@aol.com].CASH


Рекомендуемые сообщения

Владимир Нестеренко

Поймали Шифровальщика. Файлы Зашифрованы от 03,11,2019. Запуск был от пользователя rdp со слабым паролем(недосмотрел блин).

 

 

Результаты Farbar Recovery Scan Tool прилагаю 

Addition.txt

FRST.txt

Shortcut.txt

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Расшифровки этой версии вымогателя нет, к сожалению.

 

Запуск был от пользователя rdp со слабым паролем

Не забудьте сменить пароль, а также пересмотрите большое количество администраторов системы, все ли нужны.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-11-09] () [File not signed]
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    Task: {73627A62-10D5-4948-A140-B47018E2E754} - System32\Tasks\DRPNPS => Command(1): mshta.exe -> "http://update.drp.su/nps/offline/bin/tools/run.hta" "17.7.73 Offline" "1549021994641" "d401a645-61f3-4755-856c-4b31afdfdacd"
    Task: {73627A62-10D5-4948-A140-B47018E2E754} - System32\Tasks\DRPNPS => Command(2): SCHTASKS -> /Delete /TN DRPNPS /F
    CHR StartupUrls: Default -> "hxxp://mypoisk.su/"
    CHR DefaultSearchURL: Default -> hxxp://searchtds.ru/?ref=6cd8t&q={searchTerms}&do=search&subaction=search&subId=764sbor
    CHR DefaultSearchKeyword: Default -> mail.ru
    2019-11-09 12:24 - 2019-11-09 12:24 - 000116470 _____ C:\Users\user1\Downloads\local.exe.id-5CA9713F.[cryptocash@aol.com].CASH
    2019-11-03 13:01 - 2019-11-09 12:24 - 000013922 _____ C:\Users\user1\AppData\Roaming\Info.hta
    2019-11-03 13:00 - 2019-11-09 12:24 - 000000220 _____ C:\Users\user1\Desktop\FILES ENCRYPTED.txt
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Видны контрольные точки.

Пробуйте восстановить файлы средствами Windows.

Только будьте внимательны, это не значит откатить всю систему.

Ссылка на сообщение
Поделиться на другие сайты
Владимир Нестеренко

Здравствуйте!

 

Расшифровки этой версии вымогателя нет, к сожалению.

 

Запуск был от пользователя rdp со слабым паролем

Не забудьте сменить пароль, а также пересмотрите большое количество администраторов системы, все ли нужны.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-11-09] () [File not signed]
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    Task: {73627A62-10D5-4948-A140-B47018E2E754} - System32\Tasks\DRPNPS => Command(1): mshta.exe -> "http://update.drp.su/nps/offline/bin/tools/run.hta" "17.7.73 Offline" "1549021994641" "d401a645-61f3-4755-856c-4b31afdfdacd"
    Task: {73627A62-10D5-4948-A140-B47018E2E754} - System32\Tasks\DRPNPS => Command(2): SCHTASKS -> /Delete /TN DRPNPS /F
    CHR StartupUrls: Default -> "hxxp://mypoisk.su/"
    CHR DefaultSearchURL: Default -> hxxp://searchtds.ru/?ref=6cd8t&q={searchTerms}&do=search&subaction=search&subId=764sbor
    CHR DefaultSearchKeyword: Default -> mail.ru
    2019-11-09 12:24 - 2019-11-09 12:24 - 000116470 _____ C:\Users\user1\Downloads\local.exe.id-5CA9713F.[cryptocash@aol.com].CASH
    2019-11-03 13:01 - 2019-11-09 12:24 - 000013922 _____ C:\Users\user1\AppData\Roaming\Info.hta
    2019-11-03 13:00 - 2019-11-09 12:24 - 000000220 _____ C:\Users\user1\Desktop\FILES ENCRYPTED.txt
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Видны контрольные точки.

Пробуйте восстановить файлы средствами Windows.

Только будьте внимательны, это не значит откатить всю систему.

 

 

Вот

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Не цитируйте, пожалуйста, полностью предыдущее сообщение. Есть форма быстрого ответа.

 

Пробуйте восстановить файлы средствами Windows.

Пробовали?
Ссылка на сообщение
Поделиться на другие сайты
Владимир Нестеренко

Да над восстановлением я как то особо не парюсь) есть образ почти всего что было на дисках(благо базу фаербёрда не тронул), просто хочется на 100% быть уверенным что шифратора нет в системе. А так через кого зашли и почему смогли зайти ясно как белый день, 2й раз на эти грабли наступаю. 1но НО на практике даже Сильные пароли не всегда спасают если у клиента РДП на его устройствах слабая защита или пользователь совсем тапочек.

Ссылка на сообщение
Поделиться на другие сайты

шифратора нет в системе

По логам не видно.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • tized-NSK
      От tized-NSK
      Здравствуйте, у меня точно такаяже проблема с шифрованием файлов формат rty не подскажете как их расшифровать?  ShadeDecryptor не помог ,Kaspersky XoristDecryptor тоже не помог
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Александр Нефёдов
      От Александр Нефёдов
      Добрый день.
      Столкнулся с проблемой блокировки загрузки ОС Windows Server 2016, и других.
      За ночь заблочило десять машин, которые не выключались.
      Пример блокировки на скрине.
      Диски не читаются, типа raw формат, поэтому как таковых зашифрованных файлов нет, вероятно зашифрован весь диск.
      вариант из статьи(https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html) с AOMEI не помог.
       
      За любые идеи которые помогу восстановить информацию буду благодарен .

    • AlexDreyk
      От AlexDreyk
      Добрый день! Просьба помочь с расшифровкой
      Addition.txt FRST.txt Зашифрованные файлы.zip
    • dsever
      От dsever
      Сегодня после выходных обнаружили проблему. Два сервера - все данные зашифрованы.  основная проблема с 1С файлы зашифрованы + бэкапы тоже. DrWEB пишет, что вирус попал по RDP, "Файл шифровальщика находится по пути
      C:\users\администратор.win-8anssg9mkch\appdata\local\7af1be1c-1606-8166-99e6-80b4a9786b07\BABKAALYOEBALO.exe". Так же вирус зашифровал все расшаренные файлы на других серверах, но до баз SQL не добрался.
       
      BABKAALYOEBALO_DECRYPTION.txt
    • vyz-project
      От vyz-project
      На рабочем компьютере 19.11.23 начиная примерно в 22:30 (судя по дате изменения) были зашифрованы все файлы. Теперь они все с расширением .id[705C9723-3351].[blankqq@tuta.io].elpy
      На данный момент зараженный компьютер изолирован. Но он был в локальной сети до этого момента.
      Логи и файлы приложил.
      pdf_files.7z Addition.txt FRST.txt
×
×
  • Создать...