Перейти к содержимому


Фотография
- - - - -

Файлы зашифрованы с расширением .[madbad@foxmail.com].usa

foxmail.com madbad [madbad@foxmail.com .usa

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 13

#1 OFF   vlasyukmag

vlasyukmag

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 01 Февраль 2019 - 23:11

Здравствуйте, помогите расшифровать файлы все документы базы данных зашифрованы расширение .id-66947249.[madbad@foxmail.com].usa

 

Файл с требованиями от злоумышленников о выкупе я не могу найти.
На момент заражения стоял обновлённый NOD32
Файлы пошифровало все.
Это не сервер. Стационарный ПК с Windows7 x64
Теневые копии ShadowExplorer не обнаружила.

Прикрепленные файлы

  • Прикрепленный файл  arhive.zip   292,96К   скачиваний 1

  • 0

#2 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 947

Отправлено 02 Февраль 2019 - 00:21

Порядок оформления запроса о помощи

Файл с требованиями от злоумышленников о выкупе я не могу найти.


Возможно первоисточник заражения является другое устройство (сервер или ПК) которые расположены в той же сети.
  • 0

#3 OFF   vlasyukmag

vlasyukmag

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 02 Февраль 2019 - 22:43

на других ПК требований о выкупе не обнаружено.

 

Прикрепляю образ автозапуска

Прикрепленные файлы


  • 0

#4 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 947

Отправлено 02 Февраль 2019 - 23:40

Нужны логи автологера. В логах uVS очень много битых ссылок, видимо шифровальщик поработал хорошо. Уточните пожалуйста у этого ПК был удаленный доступ (RDP, SMB)?
  • 0

#5 OFF   vlasyukmag

vlasyukmag

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 03 Февраль 2019 - 00:53

Да, у этого ПК был доступ по RDP (проброшен порт).

К нему подключение шло напрямую без VPN подключения.

На момент заражения пользователя выбросило из сеанса и не пускало, было написано что сеанс занят другим пользователем.

 

Прикрепляю файл который попал в карантин NOD32

Пароль на архив: infected


Логи автологером сделаю завтра.


Самое странное что информации о выкупе я так и не нашёл.


Добавил исполняемый файл на https://www.hybrid-analysis.com/

 

https://www.hybrid-a...vironmentId=120


  • 0

#6 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 947

Отправлено 03 Февраль 2019 - 03:15

Посмотрите пожалуйста в событиях остались данные о последних подключения, и также посмотрите пожалуйста по дате и времени какой файл был зашифрован первым, а также кто владелец этого файла.


Похоже это был Trojan-Ransom.Win32.Crusis.to, вредоносный файл удалил с вашего поста.



Самое странное что информации о выкупе я так и не нашёл.

Возможно первоисточником был ПК пользователя который был на этот момент подключен к ПК, в этом случае информация о выкупе должна быть на рабочем столе этого пользователя.


  • 0

#7 OFF   vlasyukmag

vlasyukmag

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 03 Февраль 2019 - 16:23

Собрал сегодня логи автологером.

На момент сбора логов ПК был отключен от интернета.

 

Прикрепленные файлы


  • 0

#8 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 947

Отправлено 03 Февраль 2019 - 18:29

Похоже подменили системные файлы, видимо для взлома ПK, тогда возможно что этот ПК первоисточник.

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O26 - Debugger: HKLM\..\magnify.exe: [Debugger] = C:\windows\system32\cmd.exe
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe

Обратите внимание, что в системных отчетах регистрируются ошибки с диском:
Имя компьютера: comp2
Код события: 11
Сообщение: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.
Номер записи: 200763
Источник: Disk
Время записи: 20190203125908.144078-000
Тип события: Ошибка
Пользователь: 

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • 0

#9 OFF   regist

regist

    Айболит-2010

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 6 238

Отправлено 03 Февраль 2019 - 23:21

+ после этого просьба заархивируйте и прикрепите папку Backups внутри папки ..\AutoLogger\HiJackThis


  • 0
  • Спасибо x 1
  • Показать

#10 OFF   vlasyukmag

vlasyukmag

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 05 Февраль 2019 - 14:57

Спасибо.

Сегодня вечером отпишу.


  • 0

#11 OFF   vlasyukmag

vlasyukmag

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 05 Февраль 2019 - 19:41

Всё вышеперечисленное сделал.

Отправляю файлы.

Прикрепленные файлы

  • Прикрепленный файл  Backups.rar   1,99К   скачиваний 1
  • Прикрепленный файл  Addition.txt   36,55К   скачиваний 1
  • Прикрепленный файл  FRST.txt   57,31К   скачиваний 1

  • 0

#12 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 947

Отправлено 05 Февраль 2019 - 22:50

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    Start::
    CreateRestorePoint:
    CloseProcesses:
    2017-11-21 15:43 - 2014-07-01 09:20 - 011719232 _____ (Foxit Corporation) C:\Users\1C\AppData\Local\Temp\Foxit Reader Updater.exe
    2018-07-22 11:31 - 2018-07-22 11:31 - 001906040 _____ (Oracle Corporation) C:\Users\1C\AppData\Local\Temp\jre-8u181-windows-au.exe
    2015-04-21 13:12 - 2018-02-08 18:39 - 000179840 _____ () C:\Users\1C\AppData\Local\Temp\mcse32_00.dll
    2015-04-21 13:12 - 2018-02-08 18:39 - 000197760 _____ () C:\Users\1C\AppData\Local\Temp\mcse64_00.dll
    2015-04-21 13:12 - 2018-02-08 09:31 - 000197760 _____ () C:\Users\1C\AppData\Local\Temp\mcse64_01.dll
    2019-01-28 08:03 - 2019-01-28 08:03 - 001862144 _____ (Opera Software) C:\Users\Администратор\AppData\Local\Temp\Opera_installer_2019128344152.dll
    2019-01-28 08:03 - 2019-01-28 08:03 - 001862144 _____ (Opera Software) C:\Users\Администратор\AppData\Local\Temp\Opera_installer_2019128344246.dll
    2019-01-28 08:03 - 2019-01-28 08:03 - 001862144 _____ (Opera Software) C:\Users\Администратор\AppData\Local\Temp\Opera_installer_2019128344324.dll
    2019-01-28 08:03 - 2019-01-28 08:03 - 001862144 _____ (Opera Software) C:\Users\Администратор\AppData\Local\Temp\Opera_installer_2019128356757.dll
    ContextMenuHandlers1: [Foxit_ConvertToPDF_Reader] -> {A94757A0-0226-426F-B4F1-4DF381C630D3} => C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\ConvertToPDFShellExtension_x64.dll -> No File
    ContextMenuHandlers1: [VersionsPageShellExt] -> {9E42900A-85F9-4E67-9778-575FBBA0A81C} => C:\Program Files (x86)\Acronis\TrueImageHome\x64\versions_page.dll -> No File
    ContextMenuHandlers1: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext64.dll -> No File
    ContextMenuHandlers1-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll -> No File
    ContextMenuHandlers4: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext64.dll -> No File
    ContextMenuHandlers4-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll -> No File
    ContextMenuHandlers6: [VersionsPageShellExt] -> {9E42900A-85F9-4E67-9778-575FBBA0A81C} => C:\Program Files (x86)\Acronis\TrueImageHome\x64\versions_page.dll -> No File
    ContextMenuHandlers6: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext64.dll -> No File
    ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll -> No File
    Task: {2E4BA888-8792-47D6-B01D-381FEC2D81FE} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
    Task: {87EBADFE-2F20-4769-8F92-FD23404DFC6D} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
    AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [134]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:4FC01C57 [134]
    File: C:\windows\system32\magnify.exe
    File: C:\windows\system32\sethc.exe
    Reboot:
    End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.


Обратите внимание на следуюшие события
Error: (02/05/2019 06:35:33 PM) (Source: Disk) (EventID: 11) (User: )
Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.

Error: (02/05/2019 06:35:32 PM) (Source: Disk) (EventID: 11) (User: )
Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.

  • 0

#13 OFF   vlasyukmag

vlasyukmag

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 06 Февраль 2019 - 19:26

Всё сделал.

Создался Fixlog.txt

Прикрепил его к сообщению.

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   8,32К   скачиваний 1

  • 0

#14 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 947

Отправлено 07 Февраль 2019 - 03:26

Пробуйте выполнить следующие инструкции:
https://forum.kasper...showtopic=48525


  • 0





Темы с аналогичными тегами: foxmail.com, madbad, [madbad@foxmail.com, .usa

Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных