Перейти к содержанию

Шифровальщик [@rudecrypt]

QueenBlack
 Share

Рекомендуемые сообщения

QueenBlack Новичок

QueenBlack

Опубликовано
Опубликовано

Доброго дня.

Пришла беда, прошу помощи.

 

   var start_date = new Date('May 26 2023 23:52:20');
    var discount_date = new Date('May 28 2023 23:52:20');
    var end_date = new Date('May 31 2023 23:52:20');
    var main_contact = '@rudecrypt';
    var second_contact = 'telegramID@rudecrypt';
    var hid = '[6243493E-BBF995AE]';
    var telegram_link = 'https://telegram.org/';

 

Addition.txt FRST.txt crypt.7z how_to_decrypt.7z

Ссылка на комментарий
Поделиться на другие сайты
QueenBlack Новичок

QueenBlack

Опубликовано
  • Автор
Опубликовано

Исполняемые файлы зловреда также найдены. Сохранил отдельно, если понадобятся для анализа.

 

20 минут назад, QueenBlack сказал:

Исполняемые файлы зловреда также найдены. Сохранил отдельно, если понадобятся для анализа.

Касперский распознал его как HEUR:Trojan-Ransome.Win32.Generic

Ссылка на комментарий
Поделиться на другие сайты
QueenBlack Новичок

QueenBlack

Опубликовано
  • Автор
Опубликовано

Печально.

"Мусор" пока поживет, возможно, - дождется вариантов своей расшифровки. Систему зловред не тронул, - только пользовательские данные.

Активный бесплатный Касперский распознал шифровальщика только на вторые сутки его работы =(.

 

Все что было в резервных копиях на внешних ресурсах - спаслось, остальное - стало предметом для адресного восстановления из рабочих почтовых переписок.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Тогда мусор все же почистим. А Вы закрывайте дыры в RDP, через который к Вам и попали.


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM\...\RunOnce: [f0526281-a437-4a76-9c19-8d87672bdfe8] => "C:\Users\wsadmin\AppData\Local\Temp\{b427590c-07d6-4b6e-ad26-d1cc80882dd4}\f0526281-a437-4a76-9c19-8d87672bdfe8.cmd" (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3320199422-1080776454-3874141068-1002\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\111\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-3320199422-1080776454-3874141068-1002\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\111\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-3320199422-1080776454-3874141068-1004\...\Run: [6243493E-BBF995AEhta] => C:\Users\333\AppData\Local\Temp\how_to_decrypt.hta [14672 2023-05-26] () [Файл не подписан] [Файл уже используется] <==== ВНИМАНИЕ
HKU\S-1-5-21-3320199422-1080776454-3874141068-1006\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\444\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-3320199422-1080776454-3874141068-1006\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\444\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-3320199422-1080776454-3874141068-1006\...\RunOnce: [Uninstall 19.043.0304.0013\amd64] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\444\AppData\Local\Microsoft\OneDrive\19.043.0304.0013\amd64" (Нет файла)
HKU\S-1-5-21-3320199422-1080776454-3874141068-1006\...\RunOnce: [Uninstall 19.043.0304.0013] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\444\AppData\Local\Microsoft\OneDrive\19.043.0304.0013" (Нет файла)
HKU\S-1-5-21-3320199422-1080776454-3874141068-1007\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\555\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-3320199422-1080776454-3874141068-1007\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\555\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-3320199422-1080776454-3874141068-1007\...\RunOnce: [Uninstall 19.043.0304.0013\amd64] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\555\AppData\Local\Microsoft\OneDrive\19.043.0304.0013\amd64" (Нет файла)
HKU\S-1-5-21-3320199422-1080776454-3874141068-1007\...\RunOnce: [Uninstall 19.043.0304.0013] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\555\AppData\Local\Microsoft\OneDrive\19.043.0304.0013" (Нет файла)
IFEO\EOSNOTIFY.EXE: [Debugger] *
IFEO\InstallAgent.exe: [Debugger] *
IFEO\MusNotification.exe: [Debugger] *
IFEO\MUSNOTIFICATIONUX.EXE: [Debugger] *
IFEO\remsh.exe: [Debugger] *
IFEO\SIHClient.exe: [Debugger] *
IFEO\UpdateAssistant.exe: [Debugger] *
IFEO\UPFC.EXE: [Debugger] *
IFEO\UsoClient.exe: [Debugger] *
IFEO\WaaSMedic.exe: [Debugger] *
IFEO\WaasMedicAgent.exe: [Debugger] *
IFEO\Windows10Upgrade.exe: [Debugger] *
IFEO\WINDOWS10UPGRADERAPP.EXE: [Debugger] *
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
2023-05-26 23:59 - 2023-05-26 23:59 - 000014672 _____ C:\Users\wsadmin\how_to_decrypt.hta
2023-05-26 23:59 - 2023-05-26 23:59 - 000014672 _____ C:\Users\wsadmin\Downloads\how_to_decrypt.hta
2023-05-26 23:59 - 2023-05-26 23:59 - 000014672 _____ C:\Users\wsadmin\Documents\how_to_decrypt.hta
2023-05-26 23:59 - 2023-05-26 23:59 - 000014672 _____ C:\Users\wsadmin\Desktop\how_to_decrypt.hta
2023-05-26 23:59 - 2023-05-26 23:59 - 000014672 _____ C:\Users\wsadmin\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2023-05-26 23:59 - 2023-05-26 23:59 - 000014672 _____ C:\Users\wsadmin\AppData\Roaming\Microsoft\how_to_decrypt.hta
2023-05-26 23:59 - 2023-05-26 23:59 - 000014672 _____ C:\Users\wsadmin\AppData\Roaming\how_to_decrypt.hta
2023-05-26 23:59 - 2023-05-26 23:59 - 000014672 _____ C:\Users\wsadmin\AppData\LocalLow\how_to_decrypt.hta
2023-05-26 23:59 - 2023-05-26 23:59 - 000014672 _____ C:\Users\wsadmin\AppData\how_to_decrypt.hta
2023-05-26 23:59 - 2023-05-26 23:59 - 000014672 _____ C:\how_to_decrypt.hta
2023-05-26 23:58 - 2023-05-26 23:58 - 000014672 _____ C:\Users\wsadmin\AppData\Local\how_to_decrypt.hta
2023-05-26 23:58 - 2023-05-26 23:58 - 000014672 _____ C:\Users\Lenovo\how_to_decrypt.hta
2023-05-26 23:58 - 2023-05-26 23:58 - 000014672 _____ C:\Users\Lenovo\Downloads\how_to_decrypt.hta
2023-05-26 23:58 - 2023-05-26 23:58 - 000014672 _____ C:\Users\Lenovo\Documents\how_to_decrypt.hta
2023-05-26 23:58 - 2023-05-26 23:58 - 000014672 _____ C:\Users\Lenovo\Desktop\how_to_decrypt.hta
2023-05-26 23:58 - 2023-05-26 23:58 - 000014672 _____ C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2023-05-26 23:58 - 2023-05-26 23:58 - 000014672 _____ C:\Users\Lenovo\AppData\Roaming\Microsoft\how_to_decrypt.hta
2023-05-26 23:58 - 2023-05-26 23:58 - 000014672 _____ C:\Users\Lenovo\AppData\Roaming\how_to_decrypt.hta
2023-05-26 23:58 - 2023-05-26 23:58 - 000014672 _____ C:\Users\Lenovo\AppData\LocalLow\how_to_decrypt.hta
2023-05-26 23:58 - 2023-05-26 23:58 - 000014672 _____ C:\Users\Lenovo\AppData\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\Lenovo\AppData\Local\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\Default\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\Default\Documents\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\Default\AppData\Roaming\Microsoft\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\Default\AppData\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\555\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\555\Downloads\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\555\Documents\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\555\Desktop\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\555\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\555\AppData\Roaming\Microsoft\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\555\AppData\Roaming\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\555\AppData\LocalLow\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\555\AppData\Local\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\555\AppData\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\444\how_to_decrypt.hta
2023-05-26 23:55 - 2023-05-26 23:55 - 000014672 _____ C:\Users\Public\how_to_decrypt.hta
2023-05-26 23:55 - 2023-05-26 23:55 - 000014672 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2023-05-26 23:55 - 2023-05-26 23:55 - 000014672 _____ C:\Users\444\Downloads\how_to_decrypt.hta
2023-05-26 23:55 - 2023-05-26 23:55 - 000014672 _____ C:\Users\444\Documents\how_to_decrypt.hta
2023-05-26 23:55 - 2023-05-26 23:55 - 000014672 _____ C:\Users\444\Desktop\how_to_decrypt.hta
2023-05-26 23:55 - 2023-05-26 23:55 - 000014672 _____ C:\Users\444\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2023-05-26 23:55 - 2023-05-26 23:55 - 000014672 _____ C:\Users\444\AppData\Roaming\Microsoft\how_to_decrypt.hta
2023-05-26 23:55 - 2023-05-26 23:55 - 000014672 _____ C:\Users\444\AppData\Roaming\how_to_decrypt.hta
2023-05-26 23:55 - 2023-05-26 23:55 - 000014672 _____ C:\Users\444\AppData\LocalLow\how_to_decrypt.hta
2023-05-26 23:55 - 2023-05-26 23:55 - 000014672 _____ C:\Users\444\AppData\Local\how_to_decrypt.hta
2023-05-26 23:55 - 2023-05-26 23:55 - 000014672 _____ C:\Users\444\AppData\how_to_decrypt.hta
2023-05-26 23:55 - 2023-05-26 23:55 - 000014672 _____ C:\Users\222\how_to_decrypt.hta
2023-05-26 23:55 - 2023-05-26 23:55 - 000014672 _____ C:\Users\222\Downloads\how_to_decrypt.hta
2023-05-26 23:55 - 2023-05-26 23:55 - 000014672 _____ C:\Users\222\Documents\how_to_decrypt.hta
2023-05-26 23:55 - 2023-05-26 23:55 - 000014672 _____ C:\Users\222\Desktop\how_to_decrypt.hta
2023-05-26 23:55 - 2023-05-26 23:55 - 000014672 _____ C:\Users\222\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\333\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\333\Downloads\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\333\Documents\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\333\Desktop\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\333\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\333\AppData\Roaming\Microsoft\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\333\AppData\Roaming\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\333\AppData\LocalLow\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\333\AppData\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\222\AppData\Roaming\Microsoft\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\222\AppData\Roaming\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\222\AppData\LocalLow\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\222\AppData\Local\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\222\AppData\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\111\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\111\Downloads\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\111\Documents\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\111\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\111\AppData\Roaming\Microsoft\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\111\AppData\Roaming\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\111\AppData\LocalLow\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\111\AppData\how_to_decrypt.hta
2023-05-26 23:53 - 2023-05-26 23:53 - 000014672 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2023-05-26 23:53 - 2023-05-26 23:53 - 000014672 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
2023-05-26 23:53 - 2023-05-26 23:53 - 000014672 _____ C:\Users\how_to_decrypt.hta
2023-05-26 23:53 - 2023-05-26 23:53 - 000014672 _____ C:\Users\333\AppData\Local\how_to_decrypt.hta
2023-05-26 23:53 - 2023-05-26 23:53 - 000014672 _____ C:\Users\111\AppData\Local\how_to_decrypt.hta
2023-05-26 23:53 - 2023-05-26 23:53 - 000014672 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2023-05-26 23:53 - 2023-05-26 23:53 - 000014672 _____ C:\ProgramData\how_to_decrypt.hta
2023-05-26 23:51 - 2020-11-13 14:30 - 000003611 _____ C:\Users\333\Documents\closeapps.bat
2023-05-26 23:51 - 2019-02-14 19:00 - 000000063 _____ C:\Users\333\Documents\LogDelete.bat
2023-05-26 23:51 - 2019-01-30 10:41 - 000128000 _____ C:\Users\333\Documents\NS v.222.exe
2023-05-26 23:51 - 2018-06-09 12:01 - 000000028 _____ C:\Users\333\Documents\Shadow.bat
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Программа успешно отработала с буфером обмена.

 

Это всё, чем мы можем помочь на данный момент. Без слива мастер-ключей расшифровать не получится.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Александр94
      Шифровальщик
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • ad_art
      Шифровальщик BlackBit
      От ad_art
      Здравствуйте, требуется помощь в расшифровке файлов.
      Прилагаю образец вируса в запароленном архиве, ключи реестра содержащие данные для шифрации.
      First.txt Addition.txt Зашифрованные файлы.7z Оригинальные файлы.7z virus_sample.7z Требования вируса.7z reg_keys.7z
    • IrinaC
      Поймали шифровальщика
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • yarosvent
      поймали шифровальщика
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
    • WL787878
      Шифровальщик
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
×
×
  • Создать...