Перейти к содержанию

Шифровальщик [d0cdd5892a].[Hunter_or_faggot].Horsefucker

saew
 Поделиться

Рекомендуемые сообщения

saew

saew

Опубликовано
Опубликовано

Доброго дня.

Поймали шифровальщика.

Случилось вчера (05.09.2022). Похоже подобрали пароль и зашли через RDP.

Система работает, ПО внешне не затронуто. зашифрованы практически все файлы.

Приложил логи Farbar Recovery Scan Tool и пару зашифрованных файлов, один из файлов в двух видах: зашифрованный и исходный варианты, вдруг поможет для анализа.

Пока ничего не делал, кроме отключения от внешней сети и сканирования системного диска с другого компьютера по сети. Ничего подозрительного не обнаружено.

В папке C:\Users\Administrator\Pictures обнаружил подозрительные файлы, которых там не должно быть (winrar-x64-571.exe, Advanced_IP_Scanner_2.5.3850.exe, processhacker-build-setup.exe, NS.exe), звернул их в архив.

1. Просьба подсказать, что за зловред.

2. Возможно ли расшифровать файлы.

3.  Как почистить системы без форматирования и переустановки.

Благодарю заранее.

Я так понял, что надежды мало, но...

Для анализа.rar

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

14 минут назад, saew сказал:

1. Просьба подсказать, что за зловред.

Sojusz

 

15 минут назад, saew сказал:

2. Возможно ли расшифровать файлы

К сожалению, нет.

 

15 минут назад, saew сказал:

3.  Как почистить системы

Вымогатель по окончании своей работы само уничтожается, поэтому чистка сводится к удалению мусора и записок с требованием выкупа.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-3844885815-2175941681-2372420272-1001\...\MountPoints2: {2a53b26c-6fe3-11e7-93e8-806e6f6e6963} - "E:\autorun.exe" 
HKU\S-1-5-21-3844885815-2175941681-2372420272-500\...\MountPoints2: {2a53b26c-6fe3-11e7-93e8-806e6f6e6963} - "E:\setup.exe" 
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1: <==== ATTENTION (Restriction - Zones)
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3: <==== ATTENTION (Restriction - Zones)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
2022-09-05 12:53 - 2022-09-05 14:44 - 000003326 _____ C:\ProgramData\#HOW_TO_DECRYPT#.txt
2022-09-05 12:53 - 2022-09-05 14:33 - 000003326 _____ C:\Users\sae\Downloads\#HOW_TO_DECRYPT#.txt
2022-09-05 12:53 - 2022-09-05 14:33 - 000003326 _____ C:\Users\sae\Documents\#HOW_TO_DECRYPT#.txt
2022-09-05 12:53 - 2022-09-05 14:33 - 000003326 _____ C:\Users\sae\Desktop\#HOW_TO_DECRYPT#.txt
2022-09-05 12:53 - 2022-09-05 14:33 - 000003326 _____ C:\Users\sae\#HOW_TO_DECRYPT#.txt
2022-09-05 12:53 - 2022-09-05 14:33 - 000003326 _____ C:\Users\Public\Downloads\#HOW_TO_DECRYPT#.txt
2022-09-05 12:53 - 2022-09-05 14:33 - 000003326 _____ C:\Users\Public\Documents\#HOW_TO_DECRYPT#.txt
2022-09-05 12:53 - 2022-09-05 14:33 - 000003326 _____ C:\Users\Public\Desktop\#HOW_TO_DECRYPT#.txt
2022-09-05 12:53 - 2022-09-05 14:33 - 000003326 _____ C:\Users\Public\#HOW_TO_DECRYPT#.txt
2022-09-05 12:53 - 2022-09-05 14:33 - 000003326 _____ C:\Users\#HOW_TO_DECRYPT#.txt
2022-09-05 12:53 - 2022-09-05 14:33 - 000003326 _____ C:\#HOW_TO_DECRYPT#.txt
2022-09-05 12:52 - 2022-09-05 14:33 - 000003326 _____ C:\Users\Administrator\Downloads\#HOW_TO_DECRYPT#.txt
2022-09-05 12:52 - 2022-09-05 14:33 - 000003326 _____ C:\Users\Administrator\Documents\#HOW_TO_DECRYPT#.txt
2022-09-05 12:52 - 2022-09-05 14:33 - 000003326 _____ C:\Users\Administrator\Desktop\#HOW_TO_DECRYPT#.txt
2022-09-05 12:52 - 2022-09-05 14:33 - 000003326 _____ C:\Users\Administrator\#HOW_TO_DECRYPT#.txt
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

19 минут назад, saew сказал:

подобрали пароль и зашли через RDP

Верно. Смените пароль на учётную запись администратора и на RDP. Последний прячьте за VPN с авторизацией.

saew

saew

Опубликовано
  • Автор
Опубликовано

Есть нормальный и зашифрованный файл. Есть дешифратор для зашифрованного файла. Самого шифровальщика вроде бы нет, но есть несколько файлов с инструментами, которые остались после атаки, возможно там тоже есть что-то важное. Интересна вам такая информация для исследования?

Sandor

Sandor

Опубликовано
Опубликовано

Нет. Ключ для расшифровки уникален в каждом случае и он хранится на серверах злоумышленников.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Ser25
      Шифровальщик
      Автор Ser25
      Взломали пароль и зашифровали удаленный комп. Пока ничего не предпринимал
      20250507.7z
    • Пользователь 1551
      Шифровальщик
      Автор Пользователь 1551
      Добрый день! У нас аналогичная ситуация? Удалось расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Thunderer
      Шифровальщик
      Автор Thunderer
      Зашифровали файлы на компьютере и все общие папки 
      Подключились к компьютеру по RDP 
      В архиве логи frst, зашифрованный и расшифрованный файлы
      -Файлы.zip
    • Сергей_00
      шифровальщик
      Автор Сергей_00
      Добрый день!
      Сегодня шифровальщик зашифровал большую часть нужных файлов, благо выключили компьютер из розетки...
      В результате остались файлы в папке запуска подозрительного файла   svhostss.exe, а именно в папке c:\users\пользователь\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\svhostss.exe
      следующие файлы:
      Everything.db
      Everything32.dll
      Everything64.dll
      session.tmp
      svhostss.exe
       
      быть может есть возможность дешифровать данные? 
    • bygi13
      Шифровальщик
      Автор bygi13
      Вирус шифровальщик
×
×
  • Создать...