Перейти к содержанию

Шифровальщик Tisak Ransomware

distortion163
 Share

Рекомендуемые сообщения

distortion163 Новичок

distortion163

Опубликовано
Опубликовано (изменено)

Приветствую. Взломали компьютер по сети, подобрали пароль от доменной администраторской УЗ, отключили антивирус Касперского и зашифровали все включенные компьютеры и серверы. Файлы с расширением "*.Tisak". В Tisak_Help.txt фигурирует название шифровальщика: Tisak Ransomware. Выкладываю пример зашифрованного файла.

data.zip.Tisak.zip

Изменено пользователем distortion163
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)
Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool. Если система была переустановлена, то предупредите консультантов в своей теме об этом.

 

Подготовьте несколько небольших зашифрованных документов (двух будет достаточно), файл с требованиями злоумышленников и упакуйте их в архив.

 

Добавьте, пожалуйста, все необходимые файлы по правилам.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
distortion163 Новичок

distortion163

Опубликовано
  • Автор
Опубликовано
11 часов назад, safety сказал:

Добавьте, пожалуйста, все необходимые файлы по правилам.

Прикрепляю лог файлы, а также архив с зашифрованными файлами и файлом с требованием. 

Также есть файл вирус, могу прислать куда нужно.

Addition.txt FRST.txt data.zip

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано
2 minutes ago, distortion163 said:

Также есть файл вирус, могу прислать куда нужно.

Файл шифровальщика добавьте в архив с паролем infected, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

Ссылка на комментарий
Поделиться на другие сайты
distortion163 Новичок

distortion163

Опубликовано
  • Автор
Опубликовано (изменено)
2 минуты назад, safety сказал:

Файл шифровальщика добавьте в архив с паролем infected, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

ok

Изменено пользователем distortion163
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)
47 minutes ago, distortion163 said:

ok

Скорее всего, тип шифрования - Proxima/BlackShadow,это соответствует некоторым детектам на VT, а так же судя по записке о выкупе и расширению зашифрованного файла.

Характерная для данного типа задача запуска:

SCHTASKS.exe /Create /RU NT AUTHORITY\SYSTEM /sc onstart /TN Windows Update BETA /TR C:\Users\<USER>\Downloads\filecoder.exe /F

К сожалению, расшифровки о данному типу шифровальщика нет на текущий момент. Сохраните важные зашифрованные файлы на отдельный носитель, возможно в будущем расшифровка станет возможной.

 

Этот файл так же загрузите в архиве с паролем infected на облачный диск, и дайте ссылку в ЛС

2023-12-10 12:43 - 2023-12-10 12:43 - 000000144 _____ C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat

 

По очистке системы

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.
  

Start::
CloseProcesses:
SystemRestore: On
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction <==== ATTENTION
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\MRT: Restriction <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
AlternateDataStreams: C:\WINDOWS\system32\igfxCoIn_v4252.dll:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET2F65.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET314B.tmp:$CmdTcID [130]
AlternateDataStreams: C:\WINDOWS\system32\SET3BB6.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET3BF8.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET3C2B.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET3C7D.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET3F17.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET3F58.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET3F6A.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET3F8B.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\ZLhp1020.DLL:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\ZSHP1020.EXE:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\zshp1020s.dll:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\SMSS-PFRO34db.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\SysWOW64\SET33A9.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\SysWOW64\SET3A25.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\SET2C56.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\TXEIx64.sys:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\spool\prtprocs\x64\PPhp1020.DLL:$CmdTcID [64]
EmptyTemp:
Reboot:
End::

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST

+

проверьте ЛС

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
distortion163 Новичок

distortion163

Опубликовано
  • Автор
Опубликовано
8 минут назад, safety сказал:

Скорее всего, тип шифрования - Proxima/BlackShadow,это соответствует некоторым детектам на VT, а так же судя по записке о выкупе и расширению зашифрованного файла.

Дешифровать можно? Чем?

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)
22 hours ago, distortion163 said:

Дешифровать можно? Чем?

Пока нечем. Так же при наличии лицензии на продукт лаборатории Касперского можно обратиться в техническую поддержку.

Изменено пользователем safety
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • hobbit86
      King Ransomware зашифровал файлы организации
      От hobbit86
      Добрый день!
      На сервер 1С попал шифровальщик King Ransomware. Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      Проблема появилась после посещения специалиста обслуживающей 1С компании по Anydesk.
       
      FRST.txt Virus.rar Encrypted.rar
    • LamerMan
      Помощь с расшифровкой Elbie Ransomware
      От LamerMan
      Здравствуйте, 04.10.2022 на комп попал вирус-шифровальщик Elbie Ransomware, все файлы стали с расширением .lnk.id[E2638681-3398].[helprequest@techmail.info].Elbie
      Обратились в компанию по расшифровке, сказали цену 250 тыс. рублей. Сотрудник подключился удаленно и просканировал систему, оставив за собой софт(приложу во вложения)
      На момент заражения был открыт порт 3389 и настроено рдп с несложными паролями, на компе стоял Kaspersky Free (AVP21.3), есть предположение, что злоумышленник ботнетом пинговал айпишники с к классическими портами, затем забрутфорсил пароль
      Программа сотрудника аутсорс компании сканирует файлы, а затем выдает какой-то код, я так и не разобрался что с ним делать, он сказал что этим кодом пишется дешифратор. Так же там есть .exe программа, в которой ей кнопка decrypt, но она требует какой-то ключ, надеюсь, найдется человек, который сможет с этим разобраться
      Elbie Decrypt.zip
    • WL787878
      Шифровальщик
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
    • Aleksandr63
      Шифровальщик just
      От Aleksandr63
      Здравствуйте! зашифровало всё
      Новая папка.7z FRST.txt
    • Irina4832
      Шифровальщик
      От Irina4832
      Помогите! Все файлы зашифровали, онлай определители типа шифровщика его не находят
      qbpBqR1L6.README.txt
×
×
  • Создать...