Перейти к содержанию

Вирус-шифровальщик, расширение файлов .QUIETPLACE


Рекомендуемые сообщения

19.12.2022 между 12:45 и 14:00 компьютер с Windows 10 был поражён шифровальщиком, все файлы получили расширение .QUIETPLACE

Также вирус проник на другой компьютер локальной сети с папками, расшаренными на полный доступ для поражённого. В них файлы также получили расширение .QUIETPLACE, файлы на втором компьютере в папках, которые не были расшарены, не затронуты. На поражённом компьютере осталось открытым окно программы «Advanced Port Scanner» со списком расшаренных папок.

На первом поражённом компьютере защиты, кроме стандартной Windows, не было (возможно, были попытки установить какой-либо антивирус до атаки или после неё). Позже один из сотрудников просканировал систему с помощью CureIt. Был обнаружен, предположительно, источник заражения, и перемещён в карантин. До этого момента (предположительно) шифрование файлов на втором компьютере продолжалось — некоторые фалы во вложенных папках не были зашифрованы сразу, часть файлов на втором компьютере после предположительного устранения источника заражения осталась незатронутой. На втором компьютере стоял антивирус Kaspersky Free, он отметил атаку по сети (сканирование портов).

Зашифрованный файл можно открыть «блокнотом», там можно прочитать требования вымогателей.

Далее было проведено сканирование FRST64. Логи Additional.txt и FRST.txt прикрепляю к сообщению.

Также прикрепляю два зашифрованных файла в архиве QUIETPLACE.rar и фото с экрана поражённого компьютера при обнаружении атаки.

По требованию могу отправить в архиве с паролем предположительный источник заражения.

 

 

IMG_20221219_133139.jpg

QUIETPLACE.rar Addition.txt FRST.txt

Изменено пользователем elsca2022
Ссылка на комментарий
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
       
    CreateRestorePoint:
    IFEO\agntsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\AutodeskDesktopApp.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\axlbridge.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\bedbh.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\benetns.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\bengien.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\beserver.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\CoreSync.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\Creative Cloud.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\dbeng50.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\dbsnmp.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\encsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\EnterpriseClient.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\fbguard.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\fbserver.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\fdhost.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\fdlauncher.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\httpd.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\isqlplussvc.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\java.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\msaccess.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\MsDtSrvr.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\msftesql.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\mspub.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\mydesktopqos.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\mydesktopservice.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\mysqld-nt.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\mysqld-opt.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\mysqld.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\node.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\ocautoupds.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\ocomm.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\ocssd.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\oracle.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\pvlsvr.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\python.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\QBDBMgr.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\QBDBMgrN.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\QBIDPService.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\qbupdate.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\QBW32.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\QBW64.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\Raccine.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\RaccineElevatedCfg.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\RaccineSettings.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\Raccine_x86.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\RAgui.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\raw_agent_svc.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\SimplyConnectionManager.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\sqbcoreservice.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\sql.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\sqlagent.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\sqlbrowser.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\sqlmangr.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\sqlservr.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\sqlwriter.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\Ssms.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\Sysmon.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\Sysmon64.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\tbirdconfig.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\tomcat6.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\vsnapvss.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\vxmon.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\wdswfsafe.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\wpython.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\wsa_service.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\wxServer.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\wxServerView.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\xfssvccon.exe: [Debugger] C:\Windows\System32\Systray.exe
    File: C:\Windows\System32\Systray.exe
    Folder: C:\Users\Sergey\Desktop\



  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Пришлите C:\Decrypt_me.txt

Ссылка на комментарий
Поделиться на другие сайты

На форуме с расшифровкой пока помочь не можем. Смените все пароли. Проведите аудит вашей ИТ инфраструктуры. 

Ссылка на комментарий
Поделиться на другие сайты

20 минут назад, mike 1 сказал:

На форуме с расшифровкой пока помочь не можем. Смените все пароли. Проведите аудит вашей ИТ инфраструктуры. 

Спасибо. Сменим.

Будем осторожнее :)

Ссылка на комментарий
Поделиться на другие сайты

  • mike 1 закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Fantamax
      Автор Fantamax
      Добрый день. Сегодня в 6 утра вирус поменял расширение у многих файлов и зашифровал. 
      Похожая тема была, но у меня есть бекапы некоторых файлов, можно ли расшифровать (файл бекапа тоже прикрепил в архив):
       
      Addition.txt FRST.txt files.rar
    • Aleks yakov
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
    • Kdademon
      Автор Kdademon
      02.072025 обнаружили что на 2 компа (Windows 7) попал вирус шифровальщик 
      подключились предположительно по RDP
      зашифровали все базы 1с, бэкапы, архивы, документы
      файл с обращением от вымогателей нашли
      Kaspersky Virus Removal Tool нашел вируc HEUR:Trojan-Ransom.Win32.Mimic.gen

      Подскажите порядок действий по лечению этих компов и возможна ли дешифровка?
      Как можно обезопасится от подобного?
      Поможет ли установка Kaspersky на все компьютеры сети?

      Во вложении архив с примерами зашифрованных файлов из папки php
      Файлы постарался выбрать стандартные, общеизвестные может поможет в дешифровке
      Также приложил скрин с проверкой от Kaspersky Virus Removal Tool

      php.rar
    • AlexYarm
      Автор AlexYarm
      Зашифровались файлы. Расширение файлов hardbit4. Прилагаю необходимые архивы. Прошу помочь с расшифровкой.
      Hardbit4Virus.zip
    • Aleksandr Korolev
      Автор Aleksandr Korolev
      Добрый день. Недавно взломали RDP одного из рабочих пк, и через него зашифровали данные NAS , попробовали выкупить, сбросили только exe и ключи, расшифровывает, но работает дешифровщик секунд 10, второй раз запустить нельзя , блокируется. Можно ли что то с ним сделать? Сам дешифровшик тоже как вирус , потому что много изменений в реестр вносит , прилагаю файл изменений которые он вносит , сам exe и ключи user id и второй ключvirus.rarНовый текстовый документ.txt#README-TO-DECRYPT-FILES.txt
×
×
  • Создать...