Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Шифровальщик azadi33@keemail.me

On-Lite
 Поделиться

Рекомендуемые сообщения

On-Lite Новичок

On-Lite

Опубликовано
Опубликовано

Добрый день.

С 9-10 утра 23.01.2023 числа обнаружен сетевой вирус шифровальщик azadi33@keemail.me

2 компа заражены. 

зашифровал все файлы, в т.ч. файловые базы данных на сервере 1С.

т.е. ПК пользователя, у пользователя зашифровал и пролез по RDP сеансу на сервер и всё зашифровал на сервере.

Огромная просьба помочь расшифровать базы данных:

Текст сообщения

How To Restore Files

ATTENTION!
At the moment, your system is not protected.
We can fix itand restore files.
To get started, send a file to decrypt trial.
You can trust us after opening the test file.
To restore the system write to both : azadi33@smime.ninja and azadi33@keemail.me
Your Decryption ID: 23868595F549B397

 

 

 

 

 

FRST.zip 1Cv7.DD.EMAIL=[azadi33@smime.ninja]ID=[23868595F549B397].zip 1SBLOB.CDX.EMAIL=[azadi33@smime.ninja]ID=[23868595F549B397].zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
4 минуты назад, On-Lite сказал:

Addition.txt файла нет

Значит переделайте логи Farbar, предварительно отметив галочкой соотв. пункт.

 

Пока пробуем определить тип вымогателя.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
R2 TermService; C:\Program Files\RDP Wrapper\rdpwrap.dll [116736 2022-07-05] (Stas'M Corp.) [Файл не подписан] <==== ВНИМАНИЕ (отсутствует ServiceDLL)
2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\User\AppData\Roaming\How To Restore Files.txt
2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\User\AppData\LocalLow\How To Restore Files.txt
2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\User\AppData\Local\How To Restore Files.txt
2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\Kassa\AppData\Roaming\How To Restore Files.txt
2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\Kassa\AppData\LocalLow\How To Restore Files.txt
2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\Kassa\AppData\Local\How To Restore Files.txt
2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\GlavBuh\AppData\Roaming\How To Restore Files.txt
2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\GlavBuh\AppData\LocalLow\How To Restore Files.txt
2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\GlavBuh\AppData\Local\How To Restore Files.txt
2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\User\How To Restore Files.txt
2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\User\Downloads\How To Restore Files.txt
2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\User\Documents\How To Restore Files.txt
2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\User\Desktop\How To Restore Files.txt
2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\User\AppData\How To Restore Files.txt
2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\Kassa\How To Restore Files.txt
2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\Kassa\Downloads\How To Restore Files.txt
2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\Kassa\Documents\How To Restore Files.txt
2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\Kassa\Desktop\How To Restore Files.txt
2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\Kassa\AppData\How To Restore Files.txt
2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\GlavBuh\How To Restore Files.txt
2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\GlavBuh\Downloads\How To Restore Files.txt
2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\GlavBuh\Documents\How To Restore Files.txt
2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\GlavBuh\Desktop\How To Restore Files.txt
2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\GlavBuh\AppData\How To Restore Files.txt
2023-01-23 11:22 - 2023-01-23 15:41 - 000000031 _____ C:\WINDOWS\directx.sys
2023-01-23 11:22 - 2023-01-23 11:22 - 000041472 _____ C:\WINDOWS\svchost.com
2023-01-23 11:22 - 2023-01-23 11:22 - 000000303 _____ C:\Users\How To Restore Files.txt
2023-01-23 11:22 - 2023-01-23 11:22 - 000000303 _____ C:\ProgramData\How To Restore Files.txt
2023-01-23 11:22 - 2023-01-23 11:22 - 000000303 _____ C:\Program Files\How To Restore Files.txt
2023-01-23 11:22 - 2023-01-23 11:22 - 000000303 _____ C:\Program Files\Common Files\How To Restore Files.txt
2023-01-23 11:22 - 2023-01-23 11:22 - 000000303 _____ C:\Program Files (x86)\How To Restore Files.txt
2023-01-23 11:22 - 2023-01-23 11:22 - 000000303 _____ C:\How To Restore Files.txt
2023-01-23 11:22 - 2022-07-05 08:24 - 000000000 ____D C:\Program Files\RDP Wrapper
HKLM\...\exefile\shell\open\command: C:\WINDOWS\svchost.com "%1" %* <==== ВНИМАНИЕ
FirewallRules: [{70089F50-7F5D-46B6-A578-6FD140D68A58}] => (Allow) LPort=3389
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
On-Lite Новичок

On-Lite

Опубликовано
  • Автор
Опубликовано

Сделал к говорилось. При перезагрузки сервера больше зайти не получается. 

Пингуется, но служба RDP не  поднимается.

Уже завтра будем подключать монитор к серверу и смотреть что с системой.

 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Спасибо!

Прикрепите, пожалуйста, ещё пару-тройку зашифрованных образцов обычных документов, офисных, картинок или текстовых файлов.

Ссылка на комментарий
Поделиться на другие сайты
On-Lite Новичок

On-Lite

Опубликовано
  • Автор
Опубликовано

Нет, у нас такой информации нету.  Картинки тоже удалились все. 

Есть приложение LibreOffice 7.1, Microsoft Edge

есть несколько документов, таблиц, отчётов, файлов xml

прикрепил Send.zip

 

 

msedge.exe.EMAIL=[azadi33@smime.ninja]ID=[23868595F549B397].zip Send.zip soffice.exe.EMAIL=[azadi33@smime.ninja]ID=[23868595F549B397].zip

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Беляш
      Шифровальщик KOZANOSTRA
      Автор Беляш
      Добрый день.
      не восстановил   белый лист для RDP  на роутере.
      Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.
      Пострадало  две машины и  файловое хранилище
      Помогите пожалуйста с восстановлением.  
      файлы работы   frst  и  шифровальщика  во вложении.
       
      С уважением, Урянский Виктор
       
      primery.zip frst.zip
    • ratava
      KOZANOSTRA шифровальщик
      Автор ratava
      Поймал шифровальщика, судя по подобным темам файлы расшифровать не получится, хотелось бы удалить его из системы и обойтись без переустановки, если такое возможно
      FRST.txt Addition.txt Shortcut.txt Desktop.zip
    • alexlaev
      Поймали шифровальщик
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • kocks33
      шифровальщик JFZRZNDDZ
      Автор kocks33
      Добрый день!
      На сервер проник шифровальщик. Зашифровал весь диск D, снял лицензию с сервера
      Можно ли как то расшифровать файлы. Помогите пожалуйста.


    • Павел Ф.
      Шифровальщик KOZANOSTRA
      Автор Павел Ф.
      Виртуальную машину с открытым извне не стандартным рдп портом зашифровал вирус KOZANOSTRA. Был установлен антивирус kaspersku Endpoint Securitu. 
      Помогите с расшифровкой. Система под переустановку, нужны файлы и базы
×
×
  • Создать...