proxima Trojan-Ransom.Win32.Rakhni

[Netyfrey]

Зашифрованы все файлы на ПК, к многим добавлено расширение. К архивам расширение не добавилось, но при попытке их открыть - "архив поврежден"

fails.rar FRST.txt unlock-info.rar

[safety]

Почему решили, что это Trojan-Ransom.Win32.Rakhni? Был детект антивируса?

Возможно это PROXIMA. Систему уже сканировали антивирусом? Файл шифровальщика найден?

Если сканирование было с очисткой, добавьте, пожалуйста, лог сканирования. Если файл шифровальщика был найден, загрузите файл на облачный диск в архиве с паролем infected и дайте ссылку на скачивание в ЛС.

 

Эти файлы сами добавили?

2023-12-01 22:54 - 2023-12-01 23:19 - 000000000 ____D C:\Users\Evdochenko\AppData\Roaming\Process Hacker 2
2023-12-01 22:49 - 2023-04-11 18:10 - 000716176 _____ (Sysinternals - www.sysinternals.com) C:\Windows\System32\PsExec.exe

 

Изменено 4 декабря, 2023 пользователем safety

[thyrex]

Да и примеров файлов не прислали, как просили по ссылке в правилах

[Netyfrey]

1 час назад, safety сказал:

Почему решили, что это Trojan-Ransom.Win32.Rakhni? Был детект антивируса?

Возможно это PROXIMA. Систему уже сканировали антивирусом? Файл шифровальщика найден?

Если сканирование было с очисткой, добавьте, пожалуйста, лог сканирования. Если файл шифровальщика был найден, загрузите файл на облачный диск в архиве с паролем infected и дайте ссылку на скачивание в ЛС.

 

Эти файлы сами добавили?

2023-12-01 22:54 - 2023-12-01 23:19 - 000000000 ____D C:\Users\Evdochenko\AppData\Roaming\Process Hacker 2
2023-12-01 22:49 - 2023-04-11 18:10 - 000716176 _____ (Sysinternals - www.sysinternals.com) C:\Windows\System32\PsExec.exe

 Нет, это то, что было найдено на ПК. Логи приложила. KS Removal Tool ничего не нашел. Но и Cureit ничего не отправил в карантин - там пусто.

 

логи.rar

 

1 час назад, thyrex сказал:

Да и примеров файлов не прислали, как просили по ссылке в правилах

Они в архиве Fails. На большие файлы и архивы не добавилось дополнительное расширение, но их сюда и не приложить.

[safety]

судя по логам тело шифровальщика не найдено.

C:\users\evdochenko\pictures\x86\processhacker.exe - is hacktool program Tool.ProcessHacker.3
C:\users\evdochenko\pictures\x86\processhacker.exe - infected - 109ms, 1464352 bytes

 

 

Добавьте, пожалуйста, образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[Netyfrey]

4 часа назад, safety сказал:

Добавьте, пожалуйста, образ автозапуска системы в uVS.

 

2023-12-05_09-36-55_v4.14.1.7z

[safety]

RUTSERV сами ставили? (программа удаленного доступа)

C:\PROGRAM FILES (X86)\1C-CONNECT\BPH_RDA\RUTSERV.EXE

 

Антирансом установили после шифрования?

 

С FRST нужны оба лога:  FRST.txt и Addition.txt

 

Добавьте, пожалуйста, второй файл Addition.txt

 

И на этот вопрос не понял ваш ответ. Это важно.

Quote

Почему решили, что это Trojan-Ransom.Win32.Rakhni? Был детект антивируса?

 

Изменено 5 декабря, 2023 пользователем safety

[Netyfrey]

1 час назад, safety сказал:

RUTSERV сами ставили? (программа удаленного доступа)

C:\PROGRAM FILES (X86)\1C-CONNECT\BPH_RDA\RUTSERV.EXE

Да,это технической поддержки сервисов 1С

 

1 час назад, safety сказал:

Антирансом установили после шифрования?

Да, но он не запускался.

Из странного есть архивы и бэкапы баз 1С, на которые не наложились дополнительные расширения. Есть рандомные пропущенные незашифрованные файлы блокнота

 

1 час назад, safety сказал:

Почему решили, что это Trojan-Ransom.Win32.Rakhni? Был детект антивируса?

В корне диска с установленной ОС были оставлены эти два файла логов. Не зашифрованные.

Addition.txt RakhniDecryptor.1.40.0.0_04.12.2023_09.23.38_log.txt RakhniDecryptor.1.40.0.0_04.12.2023_09.25.10_log.txt

[safety]

Quote

Из странного есть архивы и бэкапы баз 1С, на которые не наложились дополнительные расширения. Есть рандомные пропущенные незашифрованные файлы блокнота

Эти файлы открываются?

 

Файлы RakhniDecryptor* остались после запуска дешифратора. Возможно ТП ранее или в этот раз пыталась запустить через него расшифровку файлов. Но это другой тип шифровальщика: вариант PROXIMA/подсемейство BlackShadow. Сэмпл не найден, возможно самоудалился. Но по зашифрованным файлам это подтвердил специалист.

Расшифровки файлов, к сожалению, на текущий момент нет. Сохраните важные зашифрованные файлы на отдельный носитель.

Возможно, в будущем, расшифровка станет возможной.

+

проверьте ЛС.

 

 

Изменено 5 декабря, 2023 пользователем safety

[Netyfrey]

05.12.2023 в 15:25, safety сказал:

Эти файлы открываются?

Нет. Просто пишет,что архив поврежден или эти файлы не являются базой данных.