Перейти к содержанию

Зашифровали все данные и программы. Расширение .id-4A6FFD2D.[unlocktools@aol.com].UTC

spika8080@gmil.com

Автор spika8080@gmil.com
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

spika8080@gmil.com

spika8080@gmil.com

Опубликовано
Опубликовано

Добрый день. Зашифровали все данные и приложения (даже службы из Администрирования) В результате все файлы стали иметь вид имя файла.оригинальное расширение..id-4A6FFD2D.[unlocktools@aol.com].UTC. Сообщение о выкупе прикрепил в текстовом файле(сообщение.txt), хотя на экране оно отображалось в html формате.Таже прикреплю текстовый файл с просьбой связаться по электронной почте с вымогателями расположенный на рабочих столах пользователей и в корнях дисков (FILES ENCRYPTED.txt) Диалог с вымогателями велся через почту указанную в расширении файлов. Они даже прислали дешифратор(decrypt.exe) (также во вложениях и попросили отправить им код который выдавался по результату сканирования (request.txt). В ответ как я понимаю они должны были отправить код дешифровки чего не последовало. Также прикрепляю результат Autologger. и 2 зашифрованных файла.

сообщение.txt

CollectionLog-2019.10.01-11.09.zip

request.txt

FILES ENCRYPTED.txt

2 зашифрованных файла.7z

decrypt.7z

thyrex

thyrex

Опубликовано
Опубликовано

Здравствуйте.

 

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\System32\RDP seslon.exe','');
 DeleteFile('C:\Windows\System32\Info.hta','64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Info.hta','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\Администратор\AppData\Roaming\Info.hta','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Windows\System32\Info.hta','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','RDP seslon.exe','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

spika8080@gmil.com

spika8080@gmil.com

Опубликовано
  • Автор
Опубликовано

Info.hta и RDP seslon.exe я действительно находил в сессии от встроенной учетной записи Администратора (которого к слову забыл отключить) Через этого пользователя и был осуществлен взлом. 

результат от https://virusinfo.info/

Результат загрузки Файл сохранён как 191001_151449_quarantine_5d936d696e37f.zip Размер файла 429 MD5 f07e1d025755a1aa21761b62c6d318f0 Файл закачан, спасибо!

Новые логи Autologger`a во вложении

CollectionLog-2019.10.01-18.23.zip

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

spika8080@gmil.com

spika8080@gmil.com

Опубликовано
  • Автор
Опубликовано (изменено)

Сделал

Desktop.7z

Изменено пользователем spika8080@gmil.com
thyrex

thyrex

Опубликовано
Опубликовано

Увы, с расшифровкой помочь не сможем. Будет только чистка мусора.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
2019-09-29 03:28 - 2019-09-29 03:28 - 000000222 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2019-09-29 03:28 - 2019-09-29 03:28 - 000000222 _____ C:\Users\Администратор\Desktop\FILES ENCRYPTED.txt
2019-09-29 03:28 - 2019-09-29 03:28 - 000000222 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2019-09-29 03:28 - 2019-09-29 03:28 - 000000222 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2019-09-29 03:28 - 2019-09-29 03:28 - 000000222 _____ C:\FILES ENCRYPTED.txt
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • AYu
      Зашифровали данные сервера. Расширение .griffin
      Автор AYu
      Взломали сервер, зашифровали данные, требуют выкуп. Может ктосталкивался с ним? Ведем переговоры с *****
      yFhK8sxrC0.rar
    • Andrews_vm
      Зашифровали данные на ПК с расширением .eking
      Автор Andrews_vm
      Поймал шифровальщик. Вероятно влез через RDP.
      KRD определил как HEUR:Trojan-Ransom.Win32.Phobos.vho 
      Зашифрованые файлы имеют названия ИмяИсходногоФайла.id[14101A37-2899].[update2020@airmail.cc].eking
      Понимаю, что пока с расшифровкой дело гиблое (буду рад каким-то новостям), но может как-то почистить систему, чтоб вчистую не поднимать заново? Заранее спасибо за помощь.
      Addition.txt FRST.txt EncryptedFiles.zip
    • Дмитрий С1990
      Зашифровали данные
      Автор Дмитрий С1990
      Был зашифрован ПК по средствам подключения по rdp  к учетной записи администратора и подобранному паролю.
      Addition.txt virus.7z FRST.txt
    • Илья-Р
      Surtr зашифровал данные
      Автор Илья-Р
      Surtr зашифровал данные.
       
      Ниже сообщение.
       
      What happened to your files?
      Unfortunately, your server was compromised, 
      using a security hole in your server.
      All your files are encrypted with a military algorithm .
      in order to contact us you can email this address
      dectokyo@onionmail.org
      use this ID( l0s9viwsc8if5y ) for the title of your email.
      if you weren't able to contact us within 24 hours please email :
      dectokyo@cock.li , TELEGRAM :@tokyosupp
      Only we can decrypt your files.
      Please do not contact separate fraudulent sites.
      You can use freeand even paid software on the Internet, 
      but it is uselessand will cause you to lose filesand timeand money.
       
      В приложении архив RAR. 
       
      Подскажите, пожалуйста, как расшифровать?
      Surtr.rar
    • AlexNewBorn
      Подключились по RDP и зашифровали данные на сервере с SQL расширение BEAST
      Автор AlexNewBorn
      10-го января  зашифровали данные получились файлы по маске ИмяРасширенияфайла + .{4C055846-FDA1-827B-E14F-B6275672F44A}.BEAST , в каждой папке txt файл с требованием выкупа. Не обращались.  Во вложении файлы логи FRST и архив с двумя зашифрованными файлами и двумя их копиями не зашифрованными, а так же записка с требованием.  к сожалению были зашифрованы так же данные , которые хотелось бы восстановить более актуальные, если есть такая возможность.
      Addition.txt encr.zip FRST.txt
×
×
  • Создать...