Перейти к содержанию

Шифровальщик [d0cdd5892a].[Hunter_or_faggot].Horsefucker


Рекомендуемые сообщения

Доброго дня.

Поймали шифровальщика.

Случилось вчера (05.09.2022). Похоже подобрали пароль и зашли через RDP.

Система работает, ПО внешне не затронуто. зашифрованы практически все файлы.

Приложил логи Farbar Recovery Scan Tool и пару зашифрованных файлов, один из файлов в двух видах: зашифрованный и исходный варианты, вдруг поможет для анализа.

Пока ничего не делал, кроме отключения от внешней сети и сканирования системного диска с другого компьютера по сети. Ничего подозрительного не обнаружено.

В папке C:\Users\Administrator\Pictures обнаружил подозрительные файлы, которых там не должно быть (winrar-x64-571.exe, Advanced_IP_Scanner_2.5.3850.exe, processhacker-build-setup.exe, NS.exe), звернул их в архив.

1. Просьба подсказать, что за зловред.

2. Возможно ли расшифровать файлы.

3.  Как почистить системы без форматирования и переустановки.

Благодарю заранее.

Я так понял, что надежды мало, но...

Для анализа.rar

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

14 минут назад, saew сказал:

1. Просьба подсказать, что за зловред.

Sojusz

 

15 минут назад, saew сказал:

2. Возможно ли расшифровать файлы

К сожалению, нет.

 

15 минут назад, saew сказал:

3.  Как почистить системы

Вымогатель по окончании своей работы само уничтожается, поэтому чистка сводится к удалению мусора и записок с требованием выкупа.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    HKU\S-1-5-21-3844885815-2175941681-2372420272-1001\...\MountPoints2: {2a53b26c-6fe3-11e7-93e8-806e6f6e6963} - "E:\autorun.exe" 
    HKU\S-1-5-21-3844885815-2175941681-2372420272-500\...\MountPoints2: {2a53b26c-6fe3-11e7-93e8-806e6f6e6963} - "E:\setup.exe" 
    HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1: <==== ATTENTION (Restriction - Zones)
    HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3: <==== ATTENTION (Restriction - Zones)
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    2022-09-05 12:53 - 2022-09-05 14:44 - 000003326 _____ C:\ProgramData\#HOW_TO_DECRYPT#.txt
    2022-09-05 12:53 - 2022-09-05 14:33 - 000003326 _____ C:\Users\sae\Downloads\#HOW_TO_DECRYPT#.txt
    2022-09-05 12:53 - 2022-09-05 14:33 - 000003326 _____ C:\Users\sae\Documents\#HOW_TO_DECRYPT#.txt
    2022-09-05 12:53 - 2022-09-05 14:33 - 000003326 _____ C:\Users\sae\Desktop\#HOW_TO_DECRYPT#.txt
    2022-09-05 12:53 - 2022-09-05 14:33 - 000003326 _____ C:\Users\sae\#HOW_TO_DECRYPT#.txt
    2022-09-05 12:53 - 2022-09-05 14:33 - 000003326 _____ C:\Users\Public\Downloads\#HOW_TO_DECRYPT#.txt
    2022-09-05 12:53 - 2022-09-05 14:33 - 000003326 _____ C:\Users\Public\Documents\#HOW_TO_DECRYPT#.txt
    2022-09-05 12:53 - 2022-09-05 14:33 - 000003326 _____ C:\Users\Public\Desktop\#HOW_TO_DECRYPT#.txt
    2022-09-05 12:53 - 2022-09-05 14:33 - 000003326 _____ C:\Users\Public\#HOW_TO_DECRYPT#.txt
    2022-09-05 12:53 - 2022-09-05 14:33 - 000003326 _____ C:\Users\#HOW_TO_DECRYPT#.txt
    2022-09-05 12:53 - 2022-09-05 14:33 - 000003326 _____ C:\#HOW_TO_DECRYPT#.txt
    2022-09-05 12:52 - 2022-09-05 14:33 - 000003326 _____ C:\Users\Administrator\Downloads\#HOW_TO_DECRYPT#.txt
    2022-09-05 12:52 - 2022-09-05 14:33 - 000003326 _____ C:\Users\Administrator\Documents\#HOW_TO_DECRYPT#.txt
    2022-09-05 12:52 - 2022-09-05 14:33 - 000003326 _____ C:\Users\Administrator\Desktop\#HOW_TO_DECRYPT#.txt
    2022-09-05 12:52 - 2022-09-05 14:33 - 000003326 _____ C:\Users\Administrator\#HOW_TO_DECRYPT#.txt
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

19 минут назад, saew сказал:

подобрали пароль и зашли через RDP

Верно. Смените пароль на учётную запись администратора и на RDP. Последний прячьте за VPN с авторизацией.

Ссылка на сообщение
Поделиться на другие сайты

Есть нормальный и зашифрованный файл. Есть дешифратор для зашифрованного файла. Самого шифровальщика вроде бы нет, но есть несколько файлов с инструментами, которые остались после атаки, возможно там тоже есть что-то важное. Интересна вам такая информация для исследования?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • StoneHeart91
      От StoneHeart91
      Словил horse fucker  помогите пожайлуста рассшифровать.
      Все документы зашифрованы. ((
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Ars20002
      От Ars20002
      Здравствуйте...
      Недавно по RDP поймал шифровальщик-вымогатель hopeandhonest@smime.ninja. Зашифровал файлы во всех жестких дисках, система не переустанавливалась, никакие действия не производились.
       
       
    • kirgraves
      От kirgraves
      Добрый день!
      Были зашифрованы файлы на компьютере. 
      В архиве записка с требованиями, шифрованные файлы + логи. 
      Помогите пожалуйста расшифровать.
       
      files.rar FRST.txt Addition.txt
    • Мыкола
      От Мыкола
      Поймали шифровальщик [0e6eb0446f].[recuper@smime.ninja].nigra
      https://disk.yandex.by/d/K2lw7_g3yECIhw
    • Tyslenko
      От Tyslenko
      Добрый день! Есть ли способ расшифровать?
      Пароль от Архива "virus"( к сожалению остальные файлы размером в несколько ГБ).
       
      p.s. Так же найдено ПО которое видимо участвовало в шифровании(могу прикрепить дополнительно)
      с названием  и путём "с:\Program Files\Process Hacker"

      спасибо
      Desktop.rar
×
×
  • Создать...