proxima Шифровальщик Tisak Ransomware

10 декабря, 2023

Приветствую. Взломали компьютер по сети, подобрали пароль от доменной администраторской УЗ, отключили антивирус Касперского и зашифровали все включенные компьютеры и серверы. Файлы с расширением "*.Tisak". В Tisak_Help.txt фигурирует название шифровальщика: Tisak Ransomware. Выкладываю пример зашифрованного файла.

data.zip.Tisak.zip

Изменено 10 декабря, 2023 пользователем distortion163

10 декабря, 2023

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool. Если система была переустановлена, то предупредите консультантов в своей теме об этом.

Подготовьте несколько небольших зашифрованных документов (двух будет достаточно), файл с требованиями злоумышленников и упакуйте их в архив.

Добавьте, пожалуйста, все необходимые файлы по правилам.

Изменено 11 декабря, 2023 пользователем safety

11 декабря, 2023

11 часов назад, safety сказал:

Добавьте, пожалуйста, все необходимые файлы по правилам.

Прикрепляю лог файлы, а также архив с зашифрованными файлами и файлом с требованием.

Также есть файл вирус, могу прислать куда нужно.

Addition.txt FRST.txt data.zip

11 декабря, 2023

2 minutes ago, distortion163 said:

Также есть файл вирус, могу прислать куда нужно.

Файл шифровальщика добавьте в архив с паролем infected, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

11 декабря, 2023

2 минуты назад, safety сказал:

Файл шифровальщика добавьте в архив с паролем infected, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

ok

Изменено 11 декабря, 2023 пользователем distortion163

11 декабря, 2023

47 minutes ago, distortion163 said:

ok

Скорее всего, тип шифрования - Proxima/BlackShadow,это соответствует некоторым детектам на VT, а так же судя по записке о выкупе и расширению зашифрованного файла.

Характерная для данного типа задача запуска:

SCHTASKS.exe /Create /RU NT AUTHORITY\SYSTEM /sc onstart /TN Windows Update BETA /TR C:\Users\<USER>\Downloads\filecoder.exe /F

К сожалению, расшифровки о данному типу шифровальщика нет на текущий момент. Сохраните важные зашифрованные файлы на отдельный носитель, возможно в будущем расшифровка станет возможной.

Этот файл так же загрузите в архиве с паролем infected на облачный диск, и дайте ссылку в ЛС

2023-12-10 12:43 - 2023-12-10 12:43 - 000000144 _____ C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat

По очистке системы

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

Start::
CloseProcesses:
SystemRestore: On
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction <==== ATTENTION
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\MRT: Restriction <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
AlternateDataStreams: C:\WINDOWS\system32\igfxCoIn_v4252.dll:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET2F65.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET314B.tmp:$CmdTcID [130]
AlternateDataStreams: C:\WINDOWS\system32\SET3BB6.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET3BF8.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET3C2B.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET3C7D.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET3F17.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET3F58.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET3F6A.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET3F8B.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\ZLhp1020.DLL:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\ZSHP1020.EXE:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\zshp1020s.dll:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\SMSS-PFRO34db.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\SysWOW64\SET33A9.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\SysWOW64\SET3A25.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\SET2C56.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\TXEIx64.sys:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\spool\prtprocs\x64\PPhp1020.DLL:$CmdTcID [64]
EmptyTemp:
Reboot:
End::

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST

+

проверьте ЛС

Изменено 11 декабря, 2023 пользователем safety

11 декабря, 2023

8 минут назад, safety сказал:

Скорее всего, тип шифрования - Proxima/BlackShadow,это соответствует некоторым детектам на VT, а так же судя по записке о выкупе и расширению зашифрованного файла.

Дешифровать можно? Чем?

11 декабря, 2023

22 hours ago, distortion163 said:

Дешифровать можно? Чем?

Пока нечем. Так же при наличии лицензии на продукт лаборатории Касперского можно обратиться в техническую поддержку.

Изменено 12 декабря, 2023 пользователем safety

proxima Шифровальщик Tisak Ransomware

Рекомендуемые сообщения

distortion163

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

distortion163

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

distortion163

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

distortion163

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum