Перейти к содержанию

Поймали шифровальщика

Dmitriy007
 Поделиться

Рекомендуемые сообщения

Dmitriy007 Новичок

Dmitriy007

Опубликовано
Опубликовано

Добрый день, поймали шифровальщика, сам шифровальщик удалился, прикладываю необходимые файлы 

Addition.txt FRST.txt Shortcut.txt для заявки о шифровальщике.7z

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Пока пробуем определить тип вымогателя.

Попробуйте найти пару - зашифрованный документ (картинка) и его не зашифрованная копия.

 

А также соберите, пожалуйста, такой лог:

  1. Скачайте Universal Virus Sniffer (uVS).
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Уточню: здесь отвечают не сотрудники ЛК, а энтузиасты.

Если вам нужен официальный ответ, обратитесь непосредственно в ТП:

для домашнего пользователя https://support.kaspersky.ru/b2c/#contacts

для пользователя корпоративным продуктом https://support.kaspersky.ru/b2b/#contacts

 

У нас пока не получается определить тип вымогателя, извините.

Ссылка на комментарий
Поделиться на другие сайты
Dmitriy007 Новичок

Dmitriy007

Опубликовано
  • Автор
Опубликовано

Может будет полезно, вся активность проходила с учетной записи Revalt. Со слов админа, эта учетка была создана для внешнего специалиста, который помогал настраивать 1с, но последние работы проводились в апреле месяце. Судя по датам изменения злоумышленник сидел на машине с 17:32 22.07.2023 до 06:02 23.07.2023 В архиве подозрительные данные которые удалось выдернуть с машины. Diag.exe идентифицируется как малварь, по длл реакции ни какой. Возможно касперу это будет полезно. 

123.zip

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

diag.exe - это обычный стиратель, создающий и забивающий мусором файлы 0F3LWP.tmp (затем они удаляются снова) на всех логических дисках. Видимо в этих файлах при работе шифровальщика хранится некая потенциально полезная информация для расшифровки.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alexlaev
      Поймали шифровальщик
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • dampe
      поймал шифровальщик ooo4ps
      Автор dampe
      Добрый день! прошу помощи, может кто то уже смог решить эту проблему. На облачный сервер проник вирус и зашифровал файлы, БД и заблокировал битлокером диск. Прикладываю лог Elcomsoft Encrypted Disk Hunter и пример зашифрованного файла
      EEDH - 02.03.2025 13-20-38.log ВМТ.pdf.rar
    • ViZorT
      Поймал шифровальщик blackpanther@mailum
      Автор ViZorT
      Поймали шифровальщик blackpanther@mailum.
      ОС не переустанавливалась.
      Прошу помощи.
      Файл шифровальщика, предположительно, удалось найти. Имеется архив с ним.
      Спасибо.
      Addition.txt Desktop.rar FRST.txt
    • user344
      Поймал майнер или троян
      Автор user344
      Здравствуйте! Недавно компьютер в простое начинает переодически нагружаться до 100%, вентиляторы начинают крутить на полную в течении 5-10 минут, только начинаешь водить мышкой по рабочему столу, то сразу же нагрузка падает до дефолтных значений. Проверял лечащай утилитой др.веб и kvrt они вирусов не нашли.
      CollectionLog-2025.06.25-21.11.zip
    • Vklass
      Поймал вирус .encrypted
      Автор Vklass
      Зашифровали сервер, пропала недельная работа, прощу помощи  логи FRST в архиве 
      Вирус 2.zip
×
×
  • Создать...