Перейти к содержанию

Шифровальщик [d0cdd5892a].[Hunter_or_faggot].Horsefucker

saew
 Share Подписчики 1

Рекомендуемые сообщения

saew

saew 0

Опубликовано
Опубликовано

Доброго дня.

Поймали шифровальщика.

Случилось вчера (05.09.2022). Похоже подобрали пароль и зашли через RDP.

Система работает, ПО внешне не затронуто. зашифрованы практически все файлы.

Приложил логи Farbar Recovery Scan Tool и пару зашифрованных файлов, один из файлов в двух видах: зашифрованный и исходный варианты, вдруг поможет для анализа.

Пока ничего не делал, кроме отключения от внешней сети и сканирования системного диска с другого компьютера по сети. Ничего подозрительного не обнаружено.

В папке C:\Users\Administrator\Pictures обнаружил подозрительные файлы, которых там не должно быть (winrar-x64-571.exe, Advanced_IP_Scanner_2.5.3850.exe, processhacker-build-setup.exe, NS.exe), звернул их в архив.

1. Просьба подсказать, что за зловред.

2. Возможно ли расшифровать файлы.

3.  Как почистить системы без форматирования и переустановки.

Благодарю заранее.

Я так понял, что надежды мало, но...

Для анализа.rar

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Здравствуйте!

 

14 минут назад, saew сказал:

1. Просьба подсказать, что за зловред.

Sojusz

 

15 минут назад, saew сказал:

2. Возможно ли расшифровать файлы

К сожалению, нет.

 

15 минут назад, saew сказал:

3.  Как почистить системы

Вымогатель по окончании своей работы само уничтожается, поэтому чистка сводится к удалению мусора и записок с требованием выкупа.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-3844885815-2175941681-2372420272-1001\...\MountPoints2: {2a53b26c-6fe3-11e7-93e8-806e6f6e6963} - "E:\autorun.exe" 
HKU\S-1-5-21-3844885815-2175941681-2372420272-500\...\MountPoints2: {2a53b26c-6fe3-11e7-93e8-806e6f6e6963} - "E:\setup.exe" 
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1: <==== ATTENTION (Restriction - Zones)
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3: <==== ATTENTION (Restriction - Zones)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
2022-09-05 12:53 - 2022-09-05 14:44 - 000003326 _____ C:\ProgramData\#HOW_TO_DECRYPT#.txt
2022-09-05 12:53 - 2022-09-05 14:33 - 000003326 _____ C:\Users\sae\Downloads\#HOW_TO_DECRYPT#.txt
2022-09-05 12:53 - 2022-09-05 14:33 - 000003326 _____ C:\Users\sae\Documents\#HOW_TO_DECRYPT#.txt
2022-09-05 12:53 - 2022-09-05 14:33 - 000003326 _____ C:\Users\sae\Desktop\#HOW_TO_DECRYPT#.txt
2022-09-05 12:53 - 2022-09-05 14:33 - 000003326 _____ C:\Users\sae\#HOW_TO_DECRYPT#.txt
2022-09-05 12:53 - 2022-09-05 14:33 - 000003326 _____ C:\Users\Public\Downloads\#HOW_TO_DECRYPT#.txt
2022-09-05 12:53 - 2022-09-05 14:33 - 000003326 _____ C:\Users\Public\Documents\#HOW_TO_DECRYPT#.txt
2022-09-05 12:53 - 2022-09-05 14:33 - 000003326 _____ C:\Users\Public\Desktop\#HOW_TO_DECRYPT#.txt
2022-09-05 12:53 - 2022-09-05 14:33 - 000003326 _____ C:\Users\Public\#HOW_TO_DECRYPT#.txt
2022-09-05 12:53 - 2022-09-05 14:33 - 000003326 _____ C:\Users\#HOW_TO_DECRYPT#.txt
2022-09-05 12:53 - 2022-09-05 14:33 - 000003326 _____ C:\#HOW_TO_DECRYPT#.txt
2022-09-05 12:52 - 2022-09-05 14:33 - 000003326 _____ C:\Users\Administrator\Downloads\#HOW_TO_DECRYPT#.txt
2022-09-05 12:52 - 2022-09-05 14:33 - 000003326 _____ C:\Users\Administrator\Documents\#HOW_TO_DECRYPT#.txt
2022-09-05 12:52 - 2022-09-05 14:33 - 000003326 _____ C:\Users\Administrator\Desktop\#HOW_TO_DECRYPT#.txt
2022-09-05 12:52 - 2022-09-05 14:33 - 000003326 _____ C:\Users\Administrator\#HOW_TO_DECRYPT#.txt
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

19 минут назад, saew сказал:

подобрали пароль и зашли через RDP

Верно. Смените пароль на учётную запись администратора и на RDP. Последний прячьте за VPN с авторизацией.

Ссылка на сообщение
Поделиться на другие сайты
saew

saew 0

Опубликовано
  • Автор
Опубликовано

Есть нормальный и зашифрованный файл. Есть дешифратор для зашифрованного файла. Самого шифровальщика вроде бы нет, но есть несколько файлов с инструментами, которые остались после атаки, возможно там тоже есть что-то важное. Интересна вам такая информация для исследования?

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Нет. Ключ для расшифровки уникален в каждом случае и он хранится на серверах злоумышленников.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Ромик Комлев
      [oct@sent.com].nigra Шифровальщик-вымогатель-nigra повредил все данные
      От Ромик Комлев
      Поражён компьютер вирусом шифровальщиком. Выкладываю в облако. 
      Сообщение от модератора mike 1 Ссылка скрыта.  Сам вирус (в двойном архиве) пароль 1111.
      id пк из файла Readme от вируса
      и три разных файла
       
      Файлы вытаскивал не из системы, так как она не запускается совсем, а  через другой ПК, поэтому AutoLogger не запустил на той пораженной системе
       
      Сообщение от модератора mike 1 Тема перемещена из раздела https://forum.kasperskyclub.ru/forum/26-pomosch-v-udalenii-virusov/  
    • DYK
      Шифровальщик-вымогатель-nigra
      От DYK
      День добрый. Прошу помощи в борьбе с шифровальщиком-вымогателем-nigra
      Файлы выглядят сейчас так: имя файла.[89e27b1d56].[nigra@privatemail.com].nigra
      Зашифровал все файлы на жестких дисках. Не тронул только Windows и Program Files похоже.
      Зашифрованые файлы и записка о выкупе.rar FRST.txt Addition.txt
    • ural8
      Шифровальщик hopeandhonest@smime.ninja
      От ural8
      Помогите с расшифровкой файлов, пожалуйста.
      https://drive.google.com/file/d/1JmzB8OgVuw5tOlPhxuwuME32zNqViqsV/view?usp=sharing
    • igormal
      Здравствуйте! Файлы зашифровались вирусом и стали с расширение .X101
      От igormal
      Евгений, у меня та же беда.  Чем закончилось у Вас ?  Я и заплатить этим бандитам согласен ( безвыходная ситуация) , но неясно куда - на все запросы получаю ответ типа - адресата не существует.
      Неужели выхода вообще нет ?
       
      Сообщение от модератора kmscom Сообщение перенесено из темы Здравствуйте! Файлы зашифровались вирусом и стали с расширение .X101  
    • symrak174
      шифровальщик [c92e5e51ec].[hopeandhonest@smime.ninja].crxxx
      От symrak174
      Добрый день, зашифровали файлы на сервере, очень надеюсь на вашу помощь.
      архив.rar FRST.txt Addition.txt
×
×
  • Создать...