Перейти к содержимому


Фотография
- - - - -

Подцеплен шифровальщик. Окончание файлов [email][id1-id2].{randomЕxtension}

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 9

#1 OFF   Destiny

Destiny

    Постоялец

  • Золотые бета-тестеры
  • Pip
  • Cообщений: 31

Отправлено 12 Декабрь 2019 - 17:37

Приветствую!

Утром пробудили компы от спячки и увидели, что на рабочем столе (а потом и везде по всему диску) на каждом компе

оооочень многие файлы, но не все, те же ехе, к примеру, не тронуты - зашифрованы.

Шаблон нового имени файла - Оригинальное_имя_файла[email][id1-id2].{randomЕxtension}

случайное трехбуквенное расширение - случайно для всех файлов. Конечно - в целом на диске - встречаются повторы,

но главное - что оно не стабильно для всех зашифрованных файлов - как для многих шифровальщиках показано в статьях,

описывающих их поведение. id1 и id2 - разные меж собой на одном компе и разные для разных компов.

Прикрепленный файл  CollectionLog-2019.12.12-16.23.zip   61,86К   скачиваний 1

 


  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 423

Отправлено 12 Декабрь 2019 - 17:52

Здравствуйте!

Программы удалённого управления обе известны?

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
Изображение

#3 OFF   Destiny

Destiny

    Постоялец

  • Золотые бета-тестеры
  • Pip
  • Cообщений: 31

Отправлено 12 Декабрь 2019 - 18:02

Программы удалённого управления обе известны?

 

а о каких прогах идет речь?

в логе какие-то упомянуты? в принципе что-то когда-то ставилось, но сейчас живых ярлыков вроде нет нигде...

 

ПыСы. или вы о Teamviewer and VNC ?

 

искомые логи:

Прикрепленный файл  Addition.txt   39,9К   скачиваний 1Прикрепленный файл  FRST.txt   94,87К   скачиваний 1


Сообщение отредактировал Destiny: 12 Декабрь 2019 - 18:03

  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 423

Отправлено 12 Декабрь 2019 - 18:09

или вы о Teamviewer and VNC ?

Да, о них.
  • 0
Изображение

#5 OFF   Destiny

Destiny

    Постоялец

  • Золотые бета-тестеры
  • Pip
  • Cообщений: 31

Отправлено 12 Декабрь 2019 - 18:11


Да, о них.

об этих да. есть такое. Там даже еще NeoRouter есть в списках. Того же типа ПО. т.е. эт нормально.

 

Но наверное на самом деле надо уточнить - есть ли дешифратор на наши файлы.

Т.к. судя по всему шифровальщик работал по сети на расшаренные папки.

т.е. это не основной комп заражения. На нем как я вижу - под раздачу попали тока файлы общего доступа...

А т.к. главное - это файлы, а не "есть тушка" вируса - то может примеры куда- то выложить?

Чтоб оценить их расшифровываемость?

 

ПыСы. потенциально это на какую-то версию самого Cryakl смахивает или на его форк)))), если таковые уже делают....

в теле файлов есть теги: {ENCRYPTSTART}{ENCRYPTENDED}


Сообщение отредактировал Destiny: 12 Декабрь 2019 - 19:12

  • 0

#6 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 423

Отправлено 12 Декабрь 2019 - 20:46

Увы, расшифровки этой версии вымогателя нет.
  • 0
Изображение

#7 OFF   Destiny

Destiny

    Постоялец

  • Золотые бета-тестеры
  • Pip
  • Cообщений: 31

Отправлено 12 Декабрь 2019 - 21:01

в смысле этой версии? я ж еще сами файлы не выкладывал. откуда про версию понятно стало?

вообще же я видел, что расшифиовка каких-то первых версий точно есть. на сайте касперского

статья ж даже есть. типа ща в инете гуляет продвинутая обнова?

 

и наличие живого файла и зашифрованного не помогает делу расшифровки?


Сообщение отредактировал Destiny: 12 Декабрь 2019 - 21:03

  • 0

#8 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 423

Отправлено 12 Декабрь 2019 - 21:34

откуда про версию понятно стало?

Вы не первый с подобным заражением. Это последняя версия Cryakl.

наличие живого файла и зашифрованного не помогает делу расшифровки?

К сожалению, нет.

Впрочем, при наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
  • 0
Изображение

#9 OFF   Destiny

Destiny

    Постоялец

  • Золотые бета-тестеры
  • Pip
  • Cообщений: 31

Отправлено 13 Декабрь 2019 - 09:40

логи проверять смотреть еще будет кто? ну для хотя бы уверенности, что большего ничего такого нет?

Я их прикрепил - но скачиваний ноль вроде как. может еще что сделать/проверить надо?


  • 0

#10 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 423

Отправлено 13 Декабрь 2019 - 09:48

Вы ведь сами сказали, что

это не основной комп заражения

Поэтому смысла в логах нет.

Тем не менее я их посмотрел, ничего плохого не видно.
  • 0
Изображение




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных