Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Trojan-Ransom.Win32.Rakhni

Netyfrey
 Поделиться

Рекомендуемые сообщения

Netyfrey Новичок

Netyfrey

Опубликовано
Опубликовано

Зашифрованы все файлы на ПК, к многим добавлено расширение. К архивам расширение не добавилось, но при попытке их открыть - "архив поврежден"

fails.rar FRST.txt unlock-info.rar

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Почему решили, что это Trojan-Ransom.Win32.Rakhni? Был детект антивируса?

Возможно это PROXIMA. Систему уже сканировали антивирусом? Файл шифровальщика найден?

Если сканирование было с очисткой, добавьте, пожалуйста, лог сканирования. Если файл шифровальщика был найден, загрузите файл на облачный диск в архиве с паролем infected и дайте ссылку на скачивание в ЛС.

 

Эти файлы сами добавили?

2023-12-01 22:54 - 2023-12-01 23:19 - 000000000 ____D C:\Users\Evdochenko\AppData\Roaming\Process Hacker 2
2023-12-01 22:49 - 2023-04-11 18:10 - 000716176 _____ (Sysinternals - www.sysinternals.com) C:\Windows\System32\PsExec.exe

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Netyfrey Новичок

Netyfrey

Опубликовано
  • Автор
Опубликовано
1 час назад, safety сказал:

Почему решили, что это Trojan-Ransom.Win32.Rakhni? Был детект антивируса?

Возможно это PROXIMA. Систему уже сканировали антивирусом? Файл шифровальщика найден?

Если сканирование было с очисткой, добавьте, пожалуйста, лог сканирования. Если файл шифровальщика был найден, загрузите файл на облачный диск в архиве с паролем infected и дайте ссылку на скачивание в ЛС.

 

Эти файлы сами добавили?

2023-12-01 22:54 - 2023-12-01 23:19 - 000000000 ____D C:\Users\Evdochenko\AppData\Roaming\Process Hacker 2
2023-12-01 22:49 - 2023-04-11 18:10 - 000716176 _____ (Sysinternals - www.sysinternals.com) C:\Windows\System32\PsExec.exe

 Нет, это то, что было найдено на ПК. Логи приложила. KS Removal Tool ничего не нашел. Но и Cureit ничего не отправил в карантин - там пусто.

 

логи.rar

 

1 час назад, thyrex сказал:

Да и примеров файлов не прислали, как просили по ссылке в правилах

Они в архиве Fails. На большие файлы и архивы не добавилось дополнительное расширение, но их сюда и не приложить.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

судя по логам тело шифровальщика не найдено.

C:\users\evdochenko\pictures\x86\processhacker.exe - is hacktool program Tool.ProcessHacker.3
C:\users\evdochenko\pictures\x86\processhacker.exe - infected - 109ms, 1464352 bytes

 

 

Добавьте, пожалуйста, образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

RUTSERV сами ставили? (программа удаленного доступа)

C:\PROGRAM FILES (X86)\1C-CONNECT\BPH_RDA\RUTSERV.EXE

 

Антирансом установили после шифрования?

 

С FRST нужны оба лога:  FRST.txt и Addition.txt

 

Добавьте, пожалуйста, второй файл Addition.txt

 

И на этот вопрос не понял ваш ответ. Это важно.

Quote

Почему решили, что это Trojan-Ransom.Win32.Rakhni? Был детект антивируса?

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Netyfrey Новичок

Netyfrey

Опубликовано
  • Автор
Опубликовано
1 час назад, safety сказал:

RUTSERV сами ставили? (программа удаленного доступа)

C:\PROGRAM FILES (X86)\1C-CONNECT\BPH_RDA\RUTSERV.EXE

Да,это технической поддержки сервисов 1С

 

1 час назад, safety сказал:

Антирансом установили после шифрования?

Да, но он не запускался.

Из странного есть архивы и бэкапы баз 1С, на которые не наложились дополнительные расширения. Есть рандомные пропущенные незашифрованные файлы блокнота

 

1 час назад, safety сказал:

Почему решили, что это Trojan-Ransom.Win32.Rakhni? Был детект антивируса?

В корне диска с установленной ОС были оставлены эти два файла логов. Не зашифрованные.

Addition.txt RakhniDecryptor.1.40.0.0_04.12.2023_09.23.38_log.txt RakhniDecryptor.1.40.0.0_04.12.2023_09.25.10_log.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
Quote

Из странного есть архивы и бэкапы баз 1С, на которые не наложились дополнительные расширения. Есть рандомные пропущенные незашифрованные файлы блокнота

Эти файлы открываются?

 

Файлы RakhniDecryptor* остались после запуска дешифратора. Возможно ТП ранее или в этот раз пыталась запустить через него расшифровку файлов. Но это другой тип шифровальщика: вариант PROXIMA/подсемейство BlackShadow. Сэмпл не найден, возможно самоудалился. Но по зашифрованным файлам это подтвердил специалист.

Расшифровки файлов, к сожалению, на текущий момент нет. Сохраните важные зашифрованные файлы на отдельный носитель.

Возможно, в будущем, расшифровка станет возможной.

+

проверьте ЛС.

 

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Netyfrey Новичок

Netyfrey

Опубликовано
  • Автор
Опубликовано
05.12.2023 в 15:25, safety сказал:

Эти файлы открываются?

Нет. Просто пишет,что архив поврежден или эти файлы не являются базой данных.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Kdademon
      Помогите в расшифровке файлов после вируса шифровальщика Trojan-Ransom.Win32.Mimic.gen
      Автор Kdademon
      02.072025 обнаружили что на 2 компа (Windows 7) попал вирус шифровальщик 
      подключились предположительно по RDP
      зашифровали все базы 1с, бэкапы, архивы, документы
      файл с обращением от вымогателей нашли
      Kaspersky Virus Removal Tool нашел вируc HEUR:Trojan-Ransom.Win32.Mimic.gen

      Подскажите порядок действий по лечению этих компов и возможна ли дешифровка?
      Как можно обезопасится от подобного?
      Поможет ли установка Kaspersky на все компьютеры сети?

      Во вложении архив с примерами зашифрованных файлов из папки php
      Файлы постарался выбрать стандартные, общеизвестные может поможет в дешифровке
      Также приложил скрин с проверкой от Kaspersky Virus Removal Tool

      php.rar
    • gulyeza
      [РЕШЕНО] Скачал и запустил Trojan
      Автор gulyeza
      Здравствуйте, вчера умудрился попостятся на троян. Если рассказывать кратко, качал зип архив с UploadHeaven, но начались перебросы по ссылкам и по итогу скачался exe файл. Сразу закинуть его в проверку ума не хватило, да и повода сомневается не было, очень много в свое время оттуда качал, вот и подумал, может у них обновление какое то, что распаковщик теперь такой. Но стоило только открыть, сразу антивирус начал всю систему грузить, начал пытаться закрывать, но только через диспетчер смог. Так же в диспетчере появились 3 новые процесса, 1 из которых не запомнил, а остальные 2 были: reason cybersecurite и reason cybersecurite vpn. Начал через параметры их удалять, так то даже получилось. Затем зашел в виндоус дефендер, он как то странно тупил, подгружался постоянно, через пару секунд вообще выключился. Ну я и нажал снова включить, как я понял, это и была главная ошибка, потому что высветилось окно подтверждения с изменением файлов (стандартное когда запускаешь антивирусник) я и нажал на "Да". На первый взгляд вообще ничего не поменялось, подумал что пора винду сносить. Все переустановил, правда не с внешнего накопителя, а локально, с этого же ноута. И есть подозрения, что особо красок не поменяло, потому что при заходе в дефендер пишет, мол "Ваш системный администратор ограничил доступ", пытался это выключить по гайдам на сайте майкрасофта, ничего не сработало. Подумал надо и биос сбросить, зашел потыкался, не особо понял поменялось ли вообще что то.
      Прикладываю скан того exe с вирус тотала:
      Так же файл с логами:CollectionLog-2025.06.22-19.56.zip
      Еще, после сбора логов, эта надпись "Ваш системный администратор ограничил доступ" в дефендере пропала, не знаю хорошо это или плохо.
      Заранее Спасибо за ответ, надеюсь проблема решаема.
      upd: после сброса винды, запускал скан доктор веба, ничего не нашел
    • nikolai.ilyin
      Ransom.Win32.Generic
      Автор nikolai.ilyin
      Зашифровали всю сеть 
      virus.7z Addition.txt
    • DoctorRS
      Trojan-Ransom.Win32.Mimic
      Автор DoctorRS
      Добрый день. Зашифровали файлы Trojan-Ransom.Win32.Mimic, не работает 1С и файлы офис. Помогите пожалуйста есть ли варианты дешифрации ? 
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • foroven
      [РАСШИФРОВАНО]Шифровальщик Trojan-Ransom.Win32.Xorist.ln
      Автор foroven
      Добрый день. Схватили шифровальщик. Кажется что взломали RDP доступ т.к был открыт наружу с слабым паролем. Зашифрованные файлы имеют расширение *.er
      Файлы с обычным расширением где есть файл *.er не открываются. В основном зашифрованы базы 1С и полностью пропал из системы один диск, отображается в диспетчере дисков, как нераспределенный. Но программой восстановления удалось восстановит все файлы, но они также зашифрованы.

      Копии.7z
×
×
  • Создать...