Перейти к содержанию

Рекомендуемые сообщения

Зашифрованы все файлы на ПК, к многим добавлено расширение. К архивам расширение не добавилось, но при попытке их открыть - "архив поврежден"

fails.rar FRST.txt unlock-info.rar

Ссылка на сообщение
Поделиться на другие сайты

Почему решили, что это Trojan-Ransom.Win32.Rakhni? Был детект антивируса?

Возможно это PROXIMA. Систему уже сканировали антивирусом? Файл шифровальщика найден?

Если сканирование было с очисткой, добавьте, пожалуйста, лог сканирования. Если файл шифровальщика был найден, загрузите файл на облачный диск в архиве с паролем infected и дайте ссылку на скачивание в ЛС.

 

Эти файлы сами добавили?

2023-12-01 22:54 - 2023-12-01 23:19 - 000000000 ____D C:\Users\Evdochenko\AppData\Roaming\Process Hacker 2
2023-12-01 22:49 - 2023-04-11 18:10 - 000716176 _____ (Sysinternals - www.sysinternals.com) C:\Windows\System32\PsExec.exe

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
1 час назад, safety сказал:

Почему решили, что это Trojan-Ransom.Win32.Rakhni? Был детект антивируса?

Возможно это PROXIMA. Систему уже сканировали антивирусом? Файл шифровальщика найден?

Если сканирование было с очисткой, добавьте, пожалуйста, лог сканирования. Если файл шифровальщика был найден, загрузите файл на облачный диск в архиве с паролем infected и дайте ссылку на скачивание в ЛС.

 

Эти файлы сами добавили?

2023-12-01 22:54 - 2023-12-01 23:19 - 000000000 ____D C:\Users\Evdochenko\AppData\Roaming\Process Hacker 2
2023-12-01 22:49 - 2023-04-11 18:10 - 000716176 _____ (Sysinternals - www.sysinternals.com) C:\Windows\System32\PsExec.exe

 Нет, это то, что было найдено на ПК. Логи приложила. KS Removal Tool ничего не нашел. Но и Cureit ничего не отправил в карантин - там пусто.

 

логи.rar

 

1 час назад, thyrex сказал:

Да и примеров файлов не прислали, как просили по ссылке в правилах

Они в архиве Fails. На большие файлы и архивы не добавилось дополнительное расширение, но их сюда и не приложить.

Ссылка на сообщение
Поделиться на другие сайты

судя по логам тело шифровальщика не найдено.

C:\users\evdochenko\pictures\x86\processhacker.exe - is hacktool program Tool.ProcessHacker.3
C:\users\evdochenko\pictures\x86\processhacker.exe - infected - 109ms, 1464352 bytes

 

 

Добавьте, пожалуйста, образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на сообщение
Поделиться на другие сайты

RUTSERV сами ставили? (программа удаленного доступа)

C:\PROGRAM FILES (X86)\1C-CONNECT\BPH_RDA\RUTSERV.EXE

 

Антирансом установили после шифрования?

 

С FRST нужны оба лога:  FRST.txt и Addition.txt

 

Добавьте, пожалуйста, второй файл Addition.txt

 

И на этот вопрос не понял ваш ответ. Это важно.

Quote

Почему решили, что это Trojan-Ransom.Win32.Rakhni? Был детект антивируса?

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
1 час назад, safety сказал:

RUTSERV сами ставили? (программа удаленного доступа)

C:\PROGRAM FILES (X86)\1C-CONNECT\BPH_RDA\RUTSERV.EXE

Да,это технической поддержки сервисов 1С

 

1 час назад, safety сказал:

Антирансом установили после шифрования?

Да, но он не запускался.

Из странного есть архивы и бэкапы баз 1С, на которые не наложились дополнительные расширения. Есть рандомные пропущенные незашифрованные файлы блокнота

 

1 час назад, safety сказал:

Почему решили, что это Trojan-Ransom.Win32.Rakhni? Был детект антивируса?

В корне диска с установленной ОС были оставлены эти два файла логов. Не зашифрованные.

Addition.txt RakhniDecryptor.1.40.0.0_04.12.2023_09.23.38_log.txt RakhniDecryptor.1.40.0.0_04.12.2023_09.25.10_log.txt

Ссылка на сообщение
Поделиться на другие сайты
Quote

Из странного есть архивы и бэкапы баз 1С, на которые не наложились дополнительные расширения. Есть рандомные пропущенные незашифрованные файлы блокнота

Эти файлы открываются?

 

Файлы RakhniDecryptor* остались после запуска дешифратора. Возможно ТП ранее или в этот раз пыталась запустить через него расшифровку файлов. Но это другой тип шифровальщика: вариант PROXIMA/подсемейство BlackShadow. Сэмпл не найден, возможно самоудалился. Но по зашифрованным файлам это подтвердил специалист.

Расшифровки файлов, к сожалению, на текущий момент нет. Сохраните важные зашифрованные файлы на отдельный носитель.

Возможно, в будущем, расшифровка станет возможной.

+

проверьте ЛС.

 

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
05.12.2023 в 15:25, safety сказал:

Эти файлы открываются?

Нет. Просто пишет,что архив поврежден или эти файлы не являются базой данных.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • indeedx
      От indeedx
      вирус senator, там есть текстовой файл с ID - Your Decryption ID: 8E9A415AB6660F85
      FRST.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • artyllerist86
      От artyllerist86
      Сегодня ночью произошло заражение компьютера. В следствии чего не понятно. Похоже сам компьютер был взломан. Большая часть файлов зашифрована с расширением .abram
      логи farbar.zip зашифрованные файлы и записка.zip
    • gts
      От gts
      Проблемная машина уже не в сети, и ее спасать не нужно.
      Задело немного файлы шары(на линуксе), есть ли спасение на данный момент от этой напасти?
       
      crypt.rar
    • AndreyMagiRus
      От AndreyMagiRus
      Предположительно, используя протокол RDP, злоумышленники получили доступ к нескольким ПК локальной сети (на одном из них стоял Kaspersky Security Cloud, но это его не спасло. В результате чего большинство файлов (текстовые, офисные, картинки, музыка, видео и т.д) были зашифрованы и переименованы путем добавления расширения .BLackShadow к каждому из них, ну и стандартный текстовый файлик с контактами и требованиями связаться с ними, иначе файлы пропадут и будут опубликованы в Даркнете. Компьютеры были вылечены утилитой KVRT, который обнаружил множественные заражения исполняемых файлов вирусом Virus.Win32.Neshta.a. Насколько я понимаю, именно шифрованием данный вирус не занимается, в связи с этим вопрос, как вообще узнать чем зашифрованы файлы? И каковы шансы на дешифрацию? Что можно попробовать сделать и куда обратиться с подобной проблемой, в том числе и на платной основе? Образцы зашифрованных файлов + требования злоумышленников, а также результат работы Farbar Recovery Scan Tool прилагаю. 
      Addition.txt Образцы BLackShadow.7z FRST.txt
    • Дмитрий Ч
      От Дмитрий Ч
      Добрый день.
      в пятницу 10.02.23 появился шифровальщик, судя по первым зашифрованным файлам начал работать в районе 18.00, последние зашифрованные файлы датируются 12.02.2023 05.30.
      Расшифровать не удается (копировал файлы на локальный компьютер и пробовал отдельно их расшифровывать с помощью утилит с форума, на диске файлы не пытался расшифровывать.)
      все файлы имеют добавочное расширение Mikel.
      Сам шифровальщик получить не удалось, обнаружили, когда он уже закончил все шифровать.
      Также в корневых каталогах лежит файл с требованием с названием Mikel_Help.txt
      во вложении архивы с двумя зашифрованными файлами, файл с требованием и логи анализа системы при помощи Farbar Recovery Scan Tool.
       
      Требуется помощь с расшифровкой.
      Заранее спасибо.

       
      Addition.rar FRST.rar Mikel_Help.rar ReadMe.txt.rar Новый текстовый документ.rar
×
×
  • Создать...