btc-azadi Шифровальщик azadi33@keemail.me

[On-Lite 0]

Добрый день.

С 9-10 утра 23.01.2023 числа обнаружен сетевой вирус шифровальщик azadi33@keemail.me

2 компа заражены. 

зашифровал все файлы, в т.ч. файловые базы данных на сервере 1С.

т.е. ПК пользователя, у пользователя зашифровал и пролез по RDP сеансу на сервер и всё зашифровал на сервере.

Огромная просьба помочь расшифровать базы данных:

Текст сообщения

How To Restore Files

ATTENTION!
At the moment, your system is not protected.
We can fix itand restore files.
To get started, send a file to decrypt trial.
You can trust us after opening the test file.
To restore the system write to both : azadi33@smime.ninja and azadi33@keemail.me
Your Decryption ID: 23868595F549B397

 

 

 

 

 

FRST.zip 1Cv7.DD.EMAIL=[azadi33@smime.ninja]ID=[23868595F549B397].zip 1SBLOB.CDX.EMAIL=[azadi33@smime.ninja]ID=[23868595F549B397].zip

[Sandor 1 286]

Здравствуйте!

 

Сам файл "How To Restore Files.txt" тоже прикрепите и файл Addition.txt

[On-Lite 0]

Прикрепляю файл How To Restore Files.txt

Addition.txt файла нет

How To Restore Files.txt

[Sandor 1 286]

4 минуты назад, On-Lite сказал:

Addition.txt файла нет

Значит переделайте логи Farbar, предварительно отметив галочкой соотв. пункт.

 

Пока пробуем определить тип вымогателя.

[On-Lite 0]

Прошу прощения, вот нужный файлик.

 

Addition.txt

[Sandor 1 286]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  R2 TermService; C:\Program Files\RDP Wrapper\rdpwrap.dll [116736 2022-07-05] (Stas'M Corp.) [Файл не подписан] <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\User\AppData\Roaming\How To Restore Files.txt
  2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\User\AppData\LocalLow\How To Restore Files.txt
  2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\User\AppData\Local\How To Restore Files.txt
  2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\Kassa\AppData\Roaming\How To Restore Files.txt
  2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\Kassa\AppData\LocalLow\How To Restore Files.txt
  2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\Kassa\AppData\Local\How To Restore Files.txt
  2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\GlavBuh\AppData\Roaming\How To Restore Files.txt
  2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\GlavBuh\AppData\LocalLow\How To Restore Files.txt
  2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\GlavBuh\AppData\Local\How To Restore Files.txt
  2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\User\How To Restore Files.txt
  2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\User\Downloads\How To Restore Files.txt
  2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\User\Documents\How To Restore Files.txt
  2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\User\Desktop\How To Restore Files.txt
  2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\User\AppData\How To Restore Files.txt
  2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\Kassa\How To Restore Files.txt
  2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\Kassa\Downloads\How To Restore Files.txt
  2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\Kassa\Documents\How To Restore Files.txt
  2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\Kassa\Desktop\How To Restore Files.txt
  2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\Kassa\AppData\How To Restore Files.txt
  2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\GlavBuh\How To Restore Files.txt
  2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\GlavBuh\Downloads\How To Restore Files.txt
  2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\GlavBuh\Documents\How To Restore Files.txt
  2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\GlavBuh\Desktop\How To Restore Files.txt
  2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\GlavBuh\AppData\How To Restore Files.txt
  2023-01-23 11:22 - 2023-01-23 15:41 - 000000031 _____ C:\WINDOWS\directx.sys
  2023-01-23 11:22 - 2023-01-23 11:22 - 000041472 _____ C:\WINDOWS\svchost.com
  2023-01-23 11:22 - 2023-01-23 11:22 - 000000303 _____ C:\Users\How To Restore Files.txt
  2023-01-23 11:22 - 2023-01-23 11:22 - 000000303 _____ C:\ProgramData\How To Restore Files.txt
  2023-01-23 11:22 - 2023-01-23 11:22 - 000000303 _____ C:\Program Files\How To Restore Files.txt
  2023-01-23 11:22 - 2023-01-23 11:22 - 000000303 _____ C:\Program Files\Common Files\How To Restore Files.txt
  2023-01-23 11:22 - 2023-01-23 11:22 - 000000303 _____ C:\Program Files (x86)\How To Restore Files.txt
  2023-01-23 11:22 - 2023-01-23 11:22 - 000000303 _____ C:\How To Restore Files.txt
  2023-01-23 11:22 - 2022-07-05 08:24 - 000000000 ____D C:\Program Files\RDP Wrapper
  HKLM\...\exefile\shell\open\command: C:\WINDOWS\svchost.com "%1" %* <==== ВНИМАНИЕ
  FirewallRules: [{70089F50-7F5D-46B6-A578-6FD140D68A58}] => (Allow) LPort=3389
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[On-Lite 0]

Сделал к говорилось. При перезагрузки сервера больше зайти не получается. 

Пингуется, но служба RDP не  поднимается.

Уже завтра будем подключать монитор к серверу и смотреть что с системой.

 

[On-Lite 0]

fixlog прилагаю

Fixlog.txt

[Sandor 1 286]

Спасибо!

Прикрепите, пожалуйста, ещё пару-тройку зашифрованных образцов обычных документов, офисных, картинок или текстовых файлов.

[On-Lite 0]

Нет, у нас такой информации нету.  Картинки тоже удалились все. 

Есть приложение LibreOffice 7.1, Microsoft Edge

есть несколько документов, таблиц, отчётов, файлов xml

прикрепил Send.zip

 

 

msedge.exe.EMAIL=[azadi33@smime.ninja]ID=[23868595F549B397].zip Send.zip soffice.exe.EMAIL=[azadi33@smime.ninja]ID=[23868595F549B397].zip

[Sandor 1 286]

Спасибо! Ещё некоторое время подождите.

[On-Lite 0]

Спасибо большое, будем ждать новостей!

[Sandor 1 286]

Описание вымогателя.

[Mark D. Pearlstone 1 528]

Сообщение от модератора Mark D. Pearlstone

Byg, вам запрещено писать в чужих темах данного раздела.