Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Шифровальщик azadi33@keemail.me

On-Lite
 Поделиться

Рекомендуемые сообщения

On-Lite

On-Lite

Опубликовано
Опубликовано

Добрый день.

С 9-10 утра 23.01.2023 числа обнаружен сетевой вирус шифровальщик azadi33@keemail.me

2 компа заражены. 

зашифровал все файлы, в т.ч. файловые базы данных на сервере 1С.

т.е. ПК пользователя, у пользователя зашифровал и пролез по RDP сеансу на сервер и всё зашифровал на сервере.

Огромная просьба помочь расшифровать базы данных:

Текст сообщения

How To Restore Files

ATTENTION!
At the moment, your system is not protected.
We can fix itand restore files.
To get started, send a file to decrypt trial.
You can trust us after opening the test file.
To restore the system write to both : azadi33@smime.ninja and azadi33@keemail.me
Your Decryption ID: 23868595F549B397

 

 

 

 

 

FRST.zip 1Cv7.DD.EMAIL=[azadi33@smime.ninja]ID=[23868595F549B397].zip 1SBLOB.CDX.EMAIL=[azadi33@smime.ninja]ID=[23868595F549B397].zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Сам файл "How To Restore Files.txt" тоже прикрепите и файл Addition.txt

Sandor

Sandor

Опубликовано
Опубликовано
4 минуты назад, On-Lite сказал:

Addition.txt файла нет

Значит переделайте логи Farbar, предварительно отметив галочкой соотв. пункт.

 

Пока пробуем определить тип вымогателя.

Sandor

Sandor

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
R2 TermService; C:\Program Files\RDP Wrapper\rdpwrap.dll [116736 2022-07-05] (Stas'M Corp.) [Файл не подписан] <==== ВНИМАНИЕ (отсутствует ServiceDLL)
2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\User\AppData\Roaming\How To Restore Files.txt
2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\User\AppData\LocalLow\How To Restore Files.txt
2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\User\AppData\Local\How To Restore Files.txt
2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\Kassa\AppData\Roaming\How To Restore Files.txt
2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\Kassa\AppData\LocalLow\How To Restore Files.txt
2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\Kassa\AppData\Local\How To Restore Files.txt
2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\GlavBuh\AppData\Roaming\How To Restore Files.txt
2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\GlavBuh\AppData\LocalLow\How To Restore Files.txt
2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\GlavBuh\AppData\Local\How To Restore Files.txt
2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\User\How To Restore Files.txt
2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\User\Downloads\How To Restore Files.txt
2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\User\Documents\How To Restore Files.txt
2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\User\Desktop\How To Restore Files.txt
2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\User\AppData\How To Restore Files.txt
2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\Kassa\How To Restore Files.txt
2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\Kassa\Downloads\How To Restore Files.txt
2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\Kassa\Documents\How To Restore Files.txt
2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\Kassa\Desktop\How To Restore Files.txt
2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\Kassa\AppData\How To Restore Files.txt
2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\GlavBuh\How To Restore Files.txt
2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\GlavBuh\Downloads\How To Restore Files.txt
2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\GlavBuh\Documents\How To Restore Files.txt
2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\GlavBuh\Desktop\How To Restore Files.txt
2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\GlavBuh\AppData\How To Restore Files.txt
2023-01-23 11:22 - 2023-01-23 15:41 - 000000031 _____ C:\WINDOWS\directx.sys
2023-01-23 11:22 - 2023-01-23 11:22 - 000041472 _____ C:\WINDOWS\svchost.com
2023-01-23 11:22 - 2023-01-23 11:22 - 000000303 _____ C:\Users\How To Restore Files.txt
2023-01-23 11:22 - 2023-01-23 11:22 - 000000303 _____ C:\ProgramData\How To Restore Files.txt
2023-01-23 11:22 - 2023-01-23 11:22 - 000000303 _____ C:\Program Files\How To Restore Files.txt
2023-01-23 11:22 - 2023-01-23 11:22 - 000000303 _____ C:\Program Files\Common Files\How To Restore Files.txt
2023-01-23 11:22 - 2023-01-23 11:22 - 000000303 _____ C:\Program Files (x86)\How To Restore Files.txt
2023-01-23 11:22 - 2023-01-23 11:22 - 000000303 _____ C:\How To Restore Files.txt
2023-01-23 11:22 - 2022-07-05 08:24 - 000000000 ____D C:\Program Files\RDP Wrapper
HKLM\...\exefile\shell\open\command: C:\WINDOWS\svchost.com "%1" %* <==== ВНИМАНИЕ
FirewallRules: [{70089F50-7F5D-46B6-A578-6FD140D68A58}] => (Allow) LPort=3389
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

On-Lite

On-Lite

Опубликовано
  • Автор
Опубликовано

Сделал к говорилось. При перезагрузки сервера больше зайти не получается. 

Пингуется, но служба RDP не  поднимается.

Уже завтра будем подключать монитор к серверу и смотреть что с системой.

 

Sandor

Sandor

Опубликовано
Опубликовано

Спасибо!

Прикрепите, пожалуйста, ещё пару-тройку зашифрованных образцов обычных документов, офисных, картинок или текстовых файлов.

On-Lite

On-Lite

Опубликовано
  • Автор
Опубликовано

Нет, у нас такой информации нету.  Картинки тоже удалились все. 

Есть приложение LibreOffice 7.1, Microsoft Edge

есть несколько документов, таблиц, отчётов, файлов xml

прикрепил Send.zip

 

 

msedge.exe.EMAIL=[azadi33@smime.ninja]ID=[23868595F549B397].zip Send.zip soffice.exe.EMAIL=[azadi33@smime.ninja]ID=[23868595F549B397].zip

Sandor

Sandor

Опубликовано
Опубликовано

Спасибо! Ещё некоторое время подождите.

Mark D. Pearlstone

Mark D. Pearlstone

Опубликовано
Опубликовано
Сообщение от модератора Mark D. Pearlstone
Byg, вам запрещено писать в чужих темах данного раздела.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • СергейПенза
      Вирус шифровальщик *zmsgrcl
      Автор СергейПенза
      Здравствуйте! Вирус зашифровал офисные файлы, .pdf, .jpeg, архивы. У всех файлов добавлено расширение .zmsgrcl
      Прикрепляю 2 версии одного файла, зашифрованную и обычную, рабочую, так же CureIt нашел тело вируса(2 файла с одинаковым размером, но разными именами), временная активность совпадает с временем поражения. Так же прикрепляю логи. Пароль на архив infected
      Заранее спасибо!
       

      Строгое предупреждение от модератора Roman_Five Зловреда выкладывать не надо! CollectionLog-2015.01.29-11.52.zip
    • vi-ego
      Вирус-шифровальщик
      Автор vi-ego
      Всем добрый день. У меня такая вот проблемка. На днях user  открыл почтовое сообщение в котором было тело вируса и естественно его запустил по незнанию, в результате в течении минуты были зашифрованы все файлы на его рабочей машине. Помогите исправить, как можно дешифровать данные? Все нужные файлы во вложении. Ни в коем случае не запускаем файл с расширением . exe иначе Ваши файлы все зашифруются..
       
       

      Сообщение от модератора Карантин в теме Doc1.doc
    • Дмитрий ddw
      Шифровальщик зашифровал все файлы сервера
      Автор Дмитрий ddw
      Добрый день! Столкнулся с шифровальщиком. Зашифровались все файлы на сервере. ПОмогите с расшифровкой.
      Spf Ransmoware.txt sfr_sert_prod.cer.EMAIL=[owndecrypt@gmail.com]ID=[16E43E4BAEAA08AF].rar
    • vkams
      Шифровальщик .no_more_ransom [Shade Ransomware]
      Автор vkams
      Пользовательница открыла .zip-файл якобы из налоговой. По её словам, антивирус nod32 предупредил и, вроде, не дал выполнить. Через 30 мин, заметив проблемы с базой The bat! (часть писем не показывалась), обратилась ко мне. Я обнаружил признаки шифрования, по одной из тем в этом разделе убил 'C:\ProgramData\Windows\csrss.exe' с помощью AVZ, но огромное количество файлов и папок уже зашифрованы. Последующая проверка с помощью Kaspresky Security Scan, DrWeb CureIt!, Malwarebytes показали, что других заражений нет. Отчёты FRST прилагаю. 
       
      Есть ли расшифровщик?

      Папка quarantine была пустой, так что, может, ничего при запуске AVZ и не убилось, разве что перезагрузка прервала работу шифровальщика. Действовал в цейтноте, не слишком разумно... .
      Addition.zip
      FRST.zip
    • ArtMaster7
      Шифровщик email-moshiax@aol.com
      Автор ArtMaster7
      Доброго времени суток.
      Помогите....
      Получил 02.12.2015 письмо из налоговой, открыл и появились проблемы....
       
      CollectionLog-2016.01.17-01.05.zip
×
×
  • Создать...