Перейти к содержанию

Шифровальщик Tisak Ransomware


Рекомендуемые сообщения

Приветствую. Взломали компьютер по сети, подобрали пароль от доменной администраторской УЗ, отключили антивирус Касперского и зашифровали все включенные компьютеры и серверы. Файлы с расширением "*.Tisak". В Tisak_Help.txt фигурирует название шифровальщика: Tisak Ransomware. Выкладываю пример зашифрованного файла.

data.zip.Tisak.zip

Изменено пользователем distortion163
Ссылка на сообщение
Поделиться на другие сайты
Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool. Если система была переустановлена, то предупредите консультантов в своей теме об этом.

 

Подготовьте несколько небольших зашифрованных документов (двух будет достаточно), файл с требованиями злоумышленников и упакуйте их в архив.

 

Добавьте, пожалуйста, все необходимые файлы по правилам.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
11 часов назад, safety сказал:

Добавьте, пожалуйста, все необходимые файлы по правилам.

Прикрепляю лог файлы, а также архив с зашифрованными файлами и файлом с требованием. 

Также есть файл вирус, могу прислать куда нужно.

Addition.txt FRST.txt data.zip

Ссылка на сообщение
Поделиться на другие сайты
2 minutes ago, distortion163 said:

Также есть файл вирус, могу прислать куда нужно.

Файл шифровальщика добавьте в архив с паролем infected, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

Ссылка на сообщение
Поделиться на другие сайты
2 минуты назад, safety сказал:

Файл шифровальщика добавьте в архив с паролем infected, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

ok

Изменено пользователем distortion163
Ссылка на сообщение
Поделиться на другие сайты
47 minutes ago, distortion163 said:

ok

Скорее всего, тип шифрования - Proxima/BlackShadow,это соответствует некоторым детектам на VT, а так же судя по записке о выкупе и расширению зашифрованного файла.

Характерная для данного типа задача запуска:

SCHTASKS.exe /Create /RU NT AUTHORITY\SYSTEM /sc onstart /TN Windows Update BETA /TR C:\Users\<USER>\Downloads\filecoder.exe /F

К сожалению, расшифровки о данному типу шифровальщика нет на текущий момент. Сохраните важные зашифрованные файлы на отдельный носитель, возможно в будущем расшифровка станет возможной.

 

Этот файл так же загрузите в архиве с паролем infected на облачный диск, и дайте ссылку в ЛС

2023-12-10 12:43 - 2023-12-10 12:43 - 000000144 _____ C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat

 

По очистке системы

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.
 

Start::
CloseProcesses:
SystemRestore: On
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction <==== ATTENTION
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\MRT: Restriction <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
AlternateDataStreams: C:\WINDOWS\system32\igfxCoIn_v4252.dll:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET2F65.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET314B.tmp:$CmdTcID [130]
AlternateDataStreams: C:\WINDOWS\system32\SET3BB6.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET3BF8.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET3C2B.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET3C7D.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET3F17.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET3F58.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET3F6A.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET3F8B.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\ZLhp1020.DLL:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\ZSHP1020.EXE:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\zshp1020s.dll:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\SMSS-PFRO34db.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\SysWOW64\SET33A9.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\SysWOW64\SET3A25.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\SET2C56.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\TXEIx64.sys:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\spool\prtprocs\x64\PPhp1020.DLL:$CmdTcID [64]
EmptyTemp:
Reboot:
End::

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST

+

проверьте ЛС

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
8 минут назад, safety сказал:

Скорее всего, тип шифрования - Proxima/BlackShadow,это соответствует некоторым детектам на VT, а так же судя по записке о выкупе и расширению зашифрованного файла.

Дешифровать можно? Чем?

Ссылка на сообщение
Поделиться на другие сайты
22 hours ago, distortion163 said:

Дешифровать можно? Чем?

Пока нечем. Так же при наличии лицензии на продукт лаборатории Касперского можно обратиться в техническую поддержку.

Изменено пользователем safety
  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Даниил342432
      От Даниил342432
      FRST.txtAddition.txt После подключения к компьютеру по RDP на компьютер попал вирус под названием NESHTA. И зашифровал почти все файлы в тип файла KASPER. Попытались удалить при помощи программы(avg_remover_neshta), но ничего не получилось.
      Дальше воспользовавшись этой ссылкой(https://forum.kasperskyclub.ru/topic/65731-pravila-oformlenija-zaprosa-o-pomoshhi/) решили написать вам.
      Virus.rar
    • nonamevit
      От nonamevit
      Все файлы зашифрованы и имеют расширение Elons и внутри лежит файл в каталогах Elons_Help.txt  с таким содержимым 

      Есть софт которым можно расшифровать? 

      IF YOU SEE THIS PAGE, IT MEANS THAT YOUR SERVER AND COMPUTERS ARE ENCRYPTED.
      # In subject line please write your personal ID
      186*********
      # What is the guarantee that we will not cheat you?
      Send us a small encrypted file to the listed emails.
      (The files must be in a common format, such as: doc-excel-pdf-jpg)
      We will decrypt these files and send them back to you as evidence.
      Contact us:
      Elons1890@mailum.com
      Elons1890@cyberfear.com
    • C0c024
      От C0c024
      Меня атаковал вирус-вымогатель .elons, я хочу узнать больше информации об этом вредоносном ПО, поскольку то, что я видел на других форумах, решения не существует.Adición.txt  FRST.txt
    • armandu
      От armandu
      Вирус-шифровальщик зашифровал файлы и добавил к ним расширение ELONS. В приложении логи анализа системы и архив с зашифрованными файлами и требованием. Буду признателен за любую помощь!
      Зашифр. файлы.zip Addition.txt FRST.txt
    • AntonZinch
      От AntonZinch
      Собственно зашифровали файлы :( Сначала винда ругалась на бесконечную блокировку учетки по РДП, затем случилось это.
      Вымогатели просят 0.3 биткоина, машинка обычная домашняя. Вирусы удалил

       
      подскажите, без приватного ключа не расшифровать? 
       
      Информации в интернете по поводу .kasper не нашел совсем. Размер файлов не меняется, на всякий случай так же прикладываю оригинал файла
      111222.vDoc.EMAIL=[kasperskyrans@gmail.com]ID=[BACCC62C15243EF0].kasper.zip 111222.vDoc.zip
×
×
  • Создать...