Перейти к содержанию

Вирус-шифровальщик, расширение файлов .QUIETPLACE


Рекомендуемые сообщения

19.12.2022 между 12:45 и 14:00 компьютер с Windows 10 был поражён шифровальщиком, все файлы получили расширение .QUIETPLACE

Также вирус проник на другой компьютер локальной сети с папками, расшаренными на полный доступ для поражённого. В них файлы также получили расширение .QUIETPLACE, файлы на втором компьютере в папках, которые не были расшарены, не затронуты. На поражённом компьютере осталось открытым окно программы «Advanced Port Scanner» со списком расшаренных папок.

На первом поражённом компьютере защиты, кроме стандартной Windows, не было (возможно, были попытки установить какой-либо антивирус до атаки или после неё). Позже один из сотрудников просканировал систему с помощью CureIt. Был обнаружен, предположительно, источник заражения, и перемещён в карантин. До этого момента (предположительно) шифрование файлов на втором компьютере продолжалось — некоторые фалы во вложенных папках не были зашифрованы сразу, часть файлов на втором компьютере после предположительного устранения источника заражения осталась незатронутой. На втором компьютере стоял антивирус Kaspersky Free, он отметил атаку по сети (сканирование портов).

Зашифрованный файл можно открыть «блокнотом», там можно прочитать требования вымогателей.

Далее было проведено сканирование FRST64. Логи Additional.txt и FRST.txt прикрепляю к сообщению.

Также прикрепляю два зашифрованных файла в архиве QUIETPLACE.rar и фото с экрана поражённого компьютера при обнаружении атаки.

По требованию могу отправить в архиве с паролем предположительный источник заражения.

 

 

IMG_20221219_133139.jpg

QUIETPLACE.rar Addition.txt FRST.txt

Изменено пользователем elsca2022
Ссылка на сообщение
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
       
    CreateRestorePoint:
    IFEO\agntsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\AutodeskDesktopApp.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\axlbridge.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\bedbh.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\benetns.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\bengien.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\beserver.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\CoreSync.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\Creative Cloud.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\dbeng50.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\dbsnmp.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\encsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\EnterpriseClient.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\fbguard.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\fbserver.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\fdhost.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\fdlauncher.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\httpd.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\isqlplussvc.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\java.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\msaccess.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\MsDtSrvr.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\msftesql.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\mspub.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\mydesktopqos.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\mydesktopservice.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\mysqld-nt.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\mysqld-opt.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\mysqld.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\node.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\ocautoupds.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\ocomm.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\ocssd.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\oracle.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\pvlsvr.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\python.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\QBDBMgr.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\QBDBMgrN.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\QBIDPService.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\qbupdate.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\QBW32.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\QBW64.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\Raccine.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\RaccineElevatedCfg.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\RaccineSettings.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\Raccine_x86.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\RAgui.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\raw_agent_svc.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\SimplyConnectionManager.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\sqbcoreservice.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\sql.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\sqlagent.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\sqlbrowser.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\sqlmangr.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\sqlservr.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\sqlwriter.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\Ssms.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\Sysmon.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\Sysmon64.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\tbirdconfig.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\tomcat6.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\vsnapvss.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\vxmon.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\wdswfsafe.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\wpython.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\wsa_service.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\wxServer.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\wxServerView.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\xfssvccon.exe: [Debugger] C:\Windows\System32\Systray.exe
    File: C:\Windows\System32\Systray.exe
    Folder: C:\Users\Sergey\Desktop\



  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Пришлите C:\Decrypt_me.txt

Ссылка на сообщение
Поделиться на другие сайты
20 минут назад, mike 1 сказал:

На форуме с расшифровкой пока помочь не можем. Смените все пароли. Проведите аудит вашей ИТ инфраструктуры. 

Спасибо. Сменим.

Будем осторожнее :)

Ссылка на сообщение
Поделиться на другие сайты
  • mike 1 закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Alexander1308
      От Alexander1308
      Добрый день, якобы из налоговой пришло письмо на почту о задолженности (отправитель ФССП РОССИИ <fssp.ru.gov@mail.ru>), с текстом: "
      ФССП РОССИИ Автоматической системой мониторинга задолженностей управления ФССП была обнаружена задолженность по налогам и сборам (в том числе по транспортному, земельному или подоходному налогу) за расчетный период: 2022 г. Сумма задолженностей за 2022 год: 29 278 рублей 91 коп. Во избежание блокировки ваших счетов и банковских карт, согласно п. 1 ст. 395 гк рф и ч. 1 ст. 70, а также, руководствуясь федеральным законом № 229 «об исполнительном производстве» передачи вашего долга в производство принудительного взыскания в отдел судебных приставов по вашему региону, вам необходимо погасить задолженность до 25 апреля 2023 г. Подробная информация в прикрепленных документах." Скачали прикрепленный архив и все файлы зашифровались - огромное количество семейных фото, видео, документов. Прошу помощи специалистов! Логи Farbar.rar Поврежденные файлы и файл запроса.rar
       
      У всех файлов на конце расширение ".YQxJ912aP"
    • asuples
      От asuples
      Все, кроме системы зашифровано. К названиям файлов добавлен [PayDecryption@gmail.com][249AB82E].pay  На сайтах не нашел дешифровщика на мой случай. Никто не сталкивался с такой гадостью?
    • wd75
      От wd75
      День добрый! Гляньте пожалуйста, похоже у меня такой-же зверь завелся.  Ситуация точно такая же, зашифровано все подряд (документы, архивы, образы).  У зашифрованных файлов расширение .RUSSIA. Концов никаких нет. 
      То что удалось выяснить самому: за выходные были заражены три рабочих станции в сети (машины в домене). При этом файловый сервер как будто уцелел (еще проверяю).  
      По моим образцам интернет говорит что моя зараза похоже на "CrySIS". 
      Desktop.rar FRST.txt Addition.txt
    • Runeolf
      От Runeolf
      Добрый день. Нет возможности узнать с чего началось заражение, т.к. шифровальщик объявился в локальной сети, утром уже всё было порушено. Многие файлы exe, txt, exlsx, xml и прочее зашифрованы и переименованы в filename.RUSSIA Cам вирус найти не удалось. Прикладываю логи и пример файлов.
      Архив для Касперского.rar Addition.txt FRST.txt Search.txt
    • On-Lite
      От On-Lite
      Добрый день.
      С 9-10 утра 23.01.2023 числа обнаружен сетевой вирус шифровальщик azadi33@keemail.me
      2 компа заражены. 
      зашифровал все файлы, в т.ч. файловые базы данных на сервере 1С.
      т.е. ПК пользователя, у пользователя зашифровал и пролез по RDP сеансу на сервер и всё зашифровал на сервере.
      Огромная просьба помочь расшифровать базы данных:
      Текст сообщения
      How To Restore Files
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      To restore the system write to both : azadi33@smime.ninja and azadi33@keemail.me
      Your Decryption ID: 23868595F549B397
       
       
       
       
       
      FRST.zip 1Cv7.DD.EMAIL=[azadi33@smime.ninja]ID=[23868595F549B397].zip 1SBLOB.CDX.EMAIL=[azadi33@smime.ninja]ID=[23868595F549B397].zip
×
×
  • Создать...