Перейти к содержимому


Фотография
- - - - -

.[cryptocash@aol.com].CASH

Шифровальщик

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 5

#1 OFF   Владимир Нестеренко

Владимир Нестеренко

    Новичок

  • Новички
  • Cообщений: 3

Отправлено 12 Ноябрь 2019 - 12:34

Поймали Шифровальщика. Файлы Зашифрованы от 03,11,2019. Запуск был от пользователя rdp со слабым паролем(недосмотрел блин).

 

 

Результаты Farbar Recovery Scan Tool прилагаю 

Прикрепленные файлы

  • Прикрепленный файл  Addition.txt   34,64К   скачиваний 1
  • Прикрепленный файл  FRST.txt   57,04К   скачиваний 1
  • Прикрепленный файл  Shortcut.txt   106,62К   скачиваний 0

  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 239

Отправлено 12 Ноябрь 2019 - 14:09

Здравствуйте!

Расшифровки этой версии вымогателя нет, к сожалению.

Запуск был от пользователя rdp со слабым паролем

Не забудьте сменить пароль, а также пересмотрите большое количество администраторов системы, все ли нужны.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-11-09] () [File not signed]
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    Task: {73627A62-10D5-4948-A140-B47018E2E754} - System32\Tasks\DRPNPS => Command(1): mshta.exe -> "http://update.drp.su/nps/offline/bin/tools/run.hta" "17.7.73 Offline" "1549021994641" "d401a645-61f3-4755-856c-4b31afdfdacd"
    Task: {73627A62-10D5-4948-A140-B47018E2E754} - System32\Tasks\DRPNPS => Command(2): SCHTASKS -> /Delete /TN DRPNPS /F
    CHR StartupUrls: Default -> "hxxp://mypoisk.su/"
    CHR DefaultSearchURL: Default -> hxxp://searchtds.ru/?ref=6cd8t&q={searchTerms}&do=search&subaction=search&subId=764sbor
    CHR DefaultSearchKeyword: Default -> mail.ru
    2019-11-09 12:24 - 2019-11-09 12:24 - 000116470 _____ C:\Users\user1\Downloads\local.exe.id-5CA9713F.[cryptocash@aol.com].CASH
    2019-11-03 13:01 - 2019-11-09 12:24 - 000013922 _____ C:\Users\user1\AppData\Roaming\Info.hta
    2019-11-03 13:00 - 2019-11-09 12:24 - 000000220 _____ C:\Users\user1\Desktop\FILES ENCRYPTED.txt
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Видны контрольные точки.
Пробуйте восстановить файлы средствами Windows.
Только будьте внимательны, это не значит откатить всю систему.
  • 0
Изображение

#3 OFF   Владимир Нестеренко

Владимир Нестеренко

    Новичок

  • Новички
  • Cообщений: 3

Отправлено 12 Ноябрь 2019 - 17:32

Здравствуйте!

Расшифровки этой версии вымогателя нет, к сожалению.
 

Запуск был от пользователя rdp со слабым паролем

Не забудьте сменить пароль, а также пересмотрите большое количество администраторов системы, все ли нужны.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-11-09] () [File not signed]
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    Task: {73627A62-10D5-4948-A140-B47018E2E754} - System32\Tasks\DRPNPS => Command(1): mshta.exe -> "http://update.drp.su/nps/offline/bin/tools/run.hta" "17.7.73 Offline" "1549021994641" "d401a645-61f3-4755-856c-4b31afdfdacd"
    Task: {73627A62-10D5-4948-A140-B47018E2E754} - System32\Tasks\DRPNPS => Command(2): SCHTASKS -> /Delete /TN DRPNPS /F
    CHR StartupUrls: Default -> "hxxp://mypoisk.su/"
    CHR DefaultSearchURL: Default -> hxxp://searchtds.ru/?ref=6cd8t&q={searchTerms}&do=search&subaction=search&subId=764sbor
    CHR DefaultSearchKeyword: Default -> mail.ru
    2019-11-09 12:24 - 2019-11-09 12:24 - 000116470 _____ C:\Users\user1\Downloads\local.exe.id-5CA9713F.[cryptocash@aol.com].CASH
    2019-11-03 13:01 - 2019-11-09 12:24 - 000013922 _____ C:\Users\user1\AppData\Roaming\Info.hta
    2019-11-03 13:00 - 2019-11-09 12:24 - 000000220 _____ C:\Users\user1\Desktop\FILES ENCRYPTED.txt
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Видны контрольные точки.
Пробуйте восстановить файлы средствами Windows.
Только будьте внимательны, это не значит откатить всю систему.

 

 

Вот

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   2,85К   скачиваний 1

  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 239

Отправлено 12 Ноябрь 2019 - 17:43

Не цитируйте, пожалуйста, полностью предыдущее сообщение. Есть форма быстрого ответа.

Пробуйте восстановить файлы средствами Windows.

Пробовали?
  • 0
Изображение

#5 OFF   Владимир Нестеренко

Владимир Нестеренко

    Новичок

  • Новички
  • Cообщений: 3

Отправлено 13 Ноябрь 2019 - 09:01

Да над восстановлением я как то особо не парюсь) есть образ почти всего что было на дисках(благо базу фаербёрда не тронул), просто хочется на 100% быть уверенным что шифратора нет в системе. А так через кого зашли и почему смогли зайти ясно как белый день, 2й раз на эти грабли наступаю. 1но НО на практике даже Сильные пароли не всегда спасают если у клиента РДП на его устройствах слабая защита или пользователь совсем тапочек.


  • 0

#6 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 239

Отправлено 13 Ноябрь 2019 - 09:10

шифратора нет в системе

По логам не видно.

Проверьте уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

  • 0
Изображение





Темы с аналогичными тегами: Шифровальщик

Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных