Перейти к содержанию

Рекомендуемые сообщения

Злоумышленники  получили доступ к AD  и собственно  подсунули  шифровальщика
причем на несколько машин  входящих  в этот AD   просто зашифровали файлы а  Текст сообщения вымогателя  только  на контроллере AD

собственно   результаты FRST  текст в вымогателя  и в  архиве  три файла  зашифрованных данной пакостью  в virus.rar

 

Addition.txt Anilorak_Decryption.txt FRST.txt VIRUS.rar

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Увы, расшифровки этого типа вымогателя нет.

Систему чистим или планируете переустановку?

Ссылка на сообщение
Поделиться на другие сайты

давайте попробуем почистить 

 

и  возможно ли в ближайшем обозримом будущем появление дешифровки  данной пакости ? 

 

Ссылка на сообщение
Поделиться на другие сайты
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\...\Policies\system: [legalnoticecaption]  
    HKLM\...\Policies\system: [legalnoticetext] ￐゚￐ᅠ￐リ￐メ￐ユ￐ᄁ, ￐ワ￐゙￐ル ￐ヤ￐゙￐ᅠ￐゙￐モ￐゙￐ル ￐ᄂ￐ミ￐ン￐ミ￐ᄁ! ￐ᄁ￐メ￐゙￐リ ￐ᄂ￐ミ￐ル￐ロ￐ᆱ ￐ラ￐ミ￐ᄄ￐リ￐ᄂ￐ᅠ￐゙￐メ￐ミ￐ン￐ᆱ!!!
    Task: {9EF232EF-A049-49F1-9743-DF1E7AE83BDA} - System32\Tasks\Erase Tmp => C:\Users\Администратор.WIN-DLTKKDFIVAV\Desktop\erase.bat  (Нет файла)
    2023-06-13 13:54 - 2023-06-14 00:33 - 000002180 _____ C:\Users\Администратор.WIN-DLTKKDFIVAV\Desktop\Anilorak_Decryption.txt
    2023-06-13 13:12 - 2023-06-14 00:33 - 000002180 _____ C:\Anilorak_Decryption.txt
    2023-06-13 13:12 - 2023-06-14 00:32 - 000002180 _____ C:\Users\Администратор.WIN-DLTKKDFIVAV\AppData\Local\Anilorak_Decryption.txt
    AlternateDataStreams: C:\Windows\system32\msln.exe:facb5613cdcbcdff2d68cecf28adc35a [340]
    HKU\S-1-5-21-980693298-1010973879-3089007739-500\Software\Classes\exefile: "%1" %* <==== ВНИМАНИЕ
    FirewallRules: [{F5D66FA5-6DA6-4778-B91C-131EFBC47046}] => (Allow) LPort=443
    FirewallRules: [{843D17AF-853C-4B06-8ADA-029459098836}] => (Allow) LPort=475
    FirewallRules: [{1823A507-39DE-4F99-A9AE-74D8F01DD316}] => (Allow) LPort=475
    FirewallRules: [{AAB145D3-B398-4E19-A847-D60A1AD6689C}] => (Allow) LPort=475
    FirewallRules: [{F64127B7-6C95-4AAE-BD6C-6CD14C782959}] => (Allow) LPort=475
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Пароли администраторов меняйте.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

Подключение по RDP, если требуется, прячьте за VPN. Иначе опять сломают.

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

получается  они  используют лазейки  через уязвимости РДП ? 

 

поможет ли  в таком случае  замена  дефолтного порта РДП  на Любой другой ? 

 

Ссылка на сообщение
Поделиться на другие сайты

к примеру

193.ххх.ххх.ххх:648хх

 

кстати но машина все равно не в адеквате 

 

кнопки выключения и перезагрузки отсутсвуют ((( 

Ссылка на сообщение
Поделиться на другие сайты
17 часов назад, wsndemon сказал:

получается  они  используют лазейки  через уязвимости РДП ? 

Не только. https://forum.kasperskyclub.ru/topic/361980-vebinar-omerzitelnaja-vosmyorka-tehniki-taktiki-i-procedury-ttps-gruppirovok-shifrovalshhikov/

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...
15.06.2023 в 16:19, Sandor сказал:

Подключение по RDP, если требуется, прячьте за VPN. Иначе опять сломают.

 

Читайте Рекомендации после удаления вредоносного ПО

Уязвимость RDP смогут использовать даже если Антивирус Касперского стоит?

Ссылка на сообщение
Поделиться на другие сайты

@Aleksey56, в этом разделе действуют определенные правила, не нарушайте их. Вы не можете писать в чужих темах.

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Владимир В. А.
      От Владимир В. А.
      Добрый день!
       
      Windows 7 Pro x64
      Прошу помочь, с очисткой компа от вируса и дешифровкой файлов. Зашел по RDP, подобрал пароль к учетке и через неё зашел на три компа, пошифровал много чего (в том числе загрузочные записи испортил).
      В дальнейшем предполагаю переставить систему.
       
      Addition.txt files.zip FRST.txt
    • Zakhar Sergeich
      От Zakhar Sergeich
      Добрый день.
      При очистке ПК нашлись трояны mimikatz и mimilove.
      Есть ли шансы расшифровать?
      Desktop.zip Addition.txt FRST.txt
    • Drugov
      От Drugov
      Бодрый день, файлы с расширением doc xls pdf были переименованы в doc.PODSTAVLIAIPOPKU  xls.PODSTAVLIAIPOPKU  pdf.PODSTAVLIAIPOPKU. Подскажите как избавиться от самого вируса, расшифровывать не надо, есть бекап. Прилагаю файлы addition FRST. Заранее благодарен.
      Addition.txt FRST.txt
    • печалька
      От печалька
      Добрый День, поймали вирус шифровальщик, который аномально странно все зашифровал, удалил резервные копии Windows и ограничил в действиях ( нельзя зайти в панель управления, безопасный режим, выключить компьютер и т.д)
      Расширение файлов, тоже очень странное PODSAVLIAIPOPKU
      выдал информацию Trojan-PSW.Win32.Mimikatz.gen, Trojan.Win32.Generetic и Trojan-PSW.Win32.Mimilove.gen.
      В письме указали:
       
      PODSTAVLIAIPOPKU Ransomware
      ATTENTION!
      YOUR PERSONAL DECRYPTION ID - hhK9RYMlcsT41PQRP2piv8vBwFjL0Ga7sPRpzXCiNnY*PODSTAVLIAIPOPKU
      At the moment, your system is not protected.
      We can fix it and restore your files.
      To get started, send 1-2 small files to decrypt them as proof
      You can trust us after opening them
      2.Do not use free programs to unlock.
      OUR CONTACTS:
      1) TOX messenger (fast and anonymous)
      https://tox.chat/download.html
      Install qtox
      Press sign up
      Create your own name
      Press plus
      Put there our tox ID:
      E9164A982410EFAEBC451C1D5629A2CBB75DBB6BCDBD6D2BA94F4D0A7B0B616F911496E469FB
      And add me/write message
      2)ICQ - @PODSTAVLIAIPOPKU
      3)SKYPE - PODSTAVLIAIPOPKU Decryption
       
      Как, стало позже понятно, Файлы зашифрованы Trojan.Encoder.35534.
       
      К сожелению пока самостоятельно не удалось найти дешифровщик.
       
       
       
      PODSTAVLIAIPOPKU_DECRYPTION.txt
    • Lumen42
      От Lumen42
      Сегодня обнаружили зашифрованный сервер на ОС Windows Server 2008. С прекрипленными сообщениями во всех файлах:
      Panin Ransomware
      ATTENTION!
      YOUR PERSONAL DECRYPTION ID - jbx8rpLn3oxEIhsjTsxJ0cPNxgMViN6Z2ymanqkvDHA*PANIN
      At the moment, your system is not protected.
      We can fix it and restore your files.
      To get started, send 1-2 small files to decrypt them as proof
      You can trust us after opening them
      2.Do not use free programs to unlock.
      OUR CONTACTS:
      1) TOX messenger (fast and anonymous)
      https://tox.chat/download.html
      Install qtox
      Press sign up
      Create your own name
      Press plus
      Put there our tox ID:
      E9164A982410EFAEBC451C1D5629A2CBB75DBB6BCDBD6D2BA94F4D0A7B0B616F911496E469FB
      And add me/write message
      2)ICQ - @PANIN
      3)SKYPE - Panin Decryption
       
      Взлом предположительно был через RDP (пароль стоял стоковый)
      Addition.txt FRST.txt Desktop.rar
×
×
  • Создать...