Перейти к содержанию

Trojan-Ransom.Win32.Rakhni

Netyfrey
 Share

Рекомендуемые сообщения

Netyfrey Новичок

Netyfrey

Опубликовано
Опубликовано

Зашифрованы все файлы на ПК, к многим добавлено расширение. К архивам расширение не добавилось, но при попытке их открыть - "архив поврежден"

fails.rar FRST.txt unlock-info.rar

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

Почему решили, что это Trojan-Ransom.Win32.Rakhni? Был детект антивируса?

Возможно это PROXIMA. Систему уже сканировали антивирусом? Файл шифровальщика найден?

Если сканирование было с очисткой, добавьте, пожалуйста, лог сканирования. Если файл шифровальщика был найден, загрузите файл на облачный диск в архиве с паролем infected и дайте ссылку на скачивание в ЛС.

 

Эти файлы сами добавили?

2023-12-01 22:54 - 2023-12-01 23:19 - 000000000 ____D C:\Users\Evdochenko\AppData\Roaming\Process Hacker 2
2023-12-01 22:49 - 2023-04-11 18:10 - 000716176 _____ (Sysinternals - www.sysinternals.com) C:\Windows\System32\PsExec.exe

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Netyfrey Новичок

Netyfrey

Опубликовано
  • Автор
Опубликовано
1 час назад, safety сказал:

Почему решили, что это Trojan-Ransom.Win32.Rakhni? Был детект антивируса?

Возможно это PROXIMA. Систему уже сканировали антивирусом? Файл шифровальщика найден?

Если сканирование было с очисткой, добавьте, пожалуйста, лог сканирования. Если файл шифровальщика был найден, загрузите файл на облачный диск в архиве с паролем infected и дайте ссылку на скачивание в ЛС.

 

Эти файлы сами добавили?

2023-12-01 22:54 - 2023-12-01 23:19 - 000000000 ____D C:\Users\Evdochenko\AppData\Roaming\Process Hacker 2
2023-12-01 22:49 - 2023-04-11 18:10 - 000716176 _____ (Sysinternals - www.sysinternals.com) C:\Windows\System32\PsExec.exe

 Нет, это то, что было найдено на ПК. Логи приложила. KS Removal Tool ничего не нашел. Но и Cureit ничего не отправил в карантин - там пусто.

 

логи.rar

 

1 час назад, thyrex сказал:

Да и примеров файлов не прислали, как просили по ссылке в правилах

Они в архиве Fails. На большие файлы и архивы не добавилось дополнительное расширение, но их сюда и не приложить.

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

судя по логам тело шифровальщика не найдено.

C:\users\evdochenko\pictures\x86\processhacker.exe - is hacktool program Tool.ProcessHacker.3
C:\users\evdochenko\pictures\x86\processhacker.exe - infected - 109ms, 1464352 bytes

 

 

Добавьте, пожалуйста, образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

RUTSERV сами ставили? (программа удаленного доступа)

C:\PROGRAM FILES (X86)\1C-CONNECT\BPH_RDA\RUTSERV.EXE

 

Антирансом установили после шифрования?

 

С FRST нужны оба лога:  FRST.txt и Addition.txt

 

Добавьте, пожалуйста, второй файл Addition.txt

 

И на этот вопрос не понял ваш ответ. Это важно.

Quote

Почему решили, что это Trojan-Ransom.Win32.Rakhni? Был детект антивируса?

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Netyfrey Новичок

Netyfrey

Опубликовано
  • Автор
Опубликовано
1 час назад, safety сказал:

RUTSERV сами ставили? (программа удаленного доступа)

C:\PROGRAM FILES (X86)\1C-CONNECT\BPH_RDA\RUTSERV.EXE

Да,это технической поддержки сервисов 1С

 

1 час назад, safety сказал:

Антирансом установили после шифрования?

Да, но он не запускался.

Из странного есть архивы и бэкапы баз 1С, на которые не наложились дополнительные расширения. Есть рандомные пропущенные незашифрованные файлы блокнота

 

1 час назад, safety сказал:

Почему решили, что это Trojan-Ransom.Win32.Rakhni? Был детект антивируса?

В корне диска с установленной ОС были оставлены эти два файла логов. Не зашифрованные.

Addition.txt RakhniDecryptor.1.40.0.0_04.12.2023_09.23.38_log.txt RakhniDecryptor.1.40.0.0_04.12.2023_09.25.10_log.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)
Quote

Из странного есть архивы и бэкапы баз 1С, на которые не наложились дополнительные расширения. Есть рандомные пропущенные незашифрованные файлы блокнота

Эти файлы открываются?

 

Файлы RakhniDecryptor* остались после запуска дешифратора. Возможно ТП ранее или в этот раз пыталась запустить через него расшифровку файлов. Но это другой тип шифровальщика: вариант PROXIMA/подсемейство BlackShadow. Сэмпл не найден, возможно самоудалился. Но по зашифрованным файлам это подтвердил специалист.

Расшифровки файлов, к сожалению, на текущий момент нет. Сохраните важные зашифрованные файлы на отдельный носитель.

Возможно, в будущем, расшифровка станет возможной.

+

проверьте ЛС.

 

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Ivy_Sekoru
      Trojan
      От Ivy_Sekoru
      После включения ноутбука начала появляться сообщения от касперски по поводу обнаружения HEUR:Trojan.Multi.GenBadur.genw
      Выполняла лечение с перезагрузкой но после этого снова появляется тоже самое сообщение
    • bakanov
      HEUR:Trojan-Ransom.Win32.Mimic.gen
      От bakanov
      Добрый день , поймали шифровальщик HEUR:Trojan-Ransom.Win32.Mimic.gen. Залез судя по всему через RDP , отсканировал домен, получил доступы к администратору домена domain\administrator и начал все шифровать куда есть доступы админа. Машину вырубили, загрузился с livecd , нашел хвосты , временные файлы и т.д. Есть варианты файлов до шифровки и после шифровки , есть ли возможность найти ключик для дешифровки для конкретно это машины ?
    • Seraph Luteus
      NET:MALWARE.URL и trojan siggen 20 2783
      От Seraph Luteus
      Доброго времени суток. Решил провести проверку системы на майнеры и прочие вирусы. Как итог, я выявил сначала такой файл trojan siggen 20 2783, после чего удалил (на что надеюсь) его через антивирусник. После сделал ещё проверки и обнаружил уже net malware.url, а его удалить не получается.  Прошу совета и помощи в решении проблемы у знатоков.
       
      По уже похожей проблеме у другого пользователя собрал нужные логи и прикреплю их. 
      PIKA_2024-11-18_15-41-59_v4.99.4v x64.7z
      FRST.txt Addition.txt AV_block_remove_2024.11.18-15.35.log
    • Aman2008
      trojan multi genbadur genw
      От Aman2008
      решил в игрульки поиграть, скачал и касперский находит троян, я перезапускаю и касперский снова его находит, и снова и снова, что делать
    • Ra11lex
      HEUR: Trojan. Multi.GenBadur.genw после лечения появляется опять.
      От Ra11lex
      Касперский плюс нашел вирус HEUR: Trojan. Multi.GenBadur.genw Расположение: Системная память, после лечения с перезагрузкой опять его нашел, а потом лечение с перезагрузкой и опять он тут. AVT его тоже находит, лечит, но после перезагрузки он опять тут. Пробовал в безопасном режиме, AVT его уже не находит. Windows 11, с последними обновлениями. Протокол прилагается. Также логи FRST. И результаты отчета uvs. 
      Это уже мой второй ноутбук. Видимо я переносил данные и вирус перенес. Прошлая ветка и решение: 
       
      ОтчетКасперский.txt Addition.txt FRST.txt ITAN_RA_2024-10-24_23-37-40_v4.99.2v x64.7z
×
×
  • Создать...