Перейти к содержанию

Шифровальщик Tisak Ransomware

distortion163
 Поделиться

Рекомендуемые сообщения

distortion163

distortion163

Опубликовано
Опубликовано (изменено)

Приветствую. Взломали компьютер по сети, подобрали пароль от доменной администраторской УЗ, отключили антивирус Касперского и зашифровали все включенные компьютеры и серверы. Файлы с расширением "*.Tisak". В Tisak_Help.txt фигурирует название шифровальщика: Tisak Ransomware. Выкладываю пример зашифрованного файла.

data.zip.Tisak.zip

Изменено пользователем distortion163
safety

safety

Опубликовано
Опубликовано (изменено)
Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool. Если система была переустановлена, то предупредите консультантов в своей теме об этом.

 

Подготовьте несколько небольших зашифрованных документов (двух будет достаточно), файл с требованиями злоумышленников и упакуйте их в архив.

 

Добавьте, пожалуйста, все необходимые файлы по правилам.

Изменено пользователем safety
distortion163

distortion163

Опубликовано
  • Автор
Опубликовано
11 часов назад, safety сказал:

Добавьте, пожалуйста, все необходимые файлы по правилам.

Прикрепляю лог файлы, а также архив с зашифрованными файлами и файлом с требованием. 

Также есть файл вирус, могу прислать куда нужно.

Addition.txt FRST.txt data.zip

safety

safety

Опубликовано
Опубликовано
2 minutes ago, distortion163 said:

Также есть файл вирус, могу прислать куда нужно.

Файл шифровальщика добавьте в архив с паролем infected, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

distortion163

distortion163

Опубликовано
  • Автор
Опубликовано (изменено)
2 минуты назад, safety сказал:

Файл шифровальщика добавьте в архив с паролем infected, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

ok

Изменено пользователем distortion163
safety

safety

Опубликовано
Опубликовано (изменено)
47 minutes ago, distortion163 said:

ok

Скорее всего, тип шифрования - Proxima/BlackShadow,это соответствует некоторым детектам на VT, а так же судя по записке о выкупе и расширению зашифрованного файла.

Характерная для данного типа задача запуска:

SCHTASKS.exe /Create /RU NT AUTHORITY\SYSTEM /sc onstart /TN Windows Update BETA /TR C:\Users\<USER>\Downloads\filecoder.exe /F

К сожалению, расшифровки о данному типу шифровальщика нет на текущий момент. Сохраните важные зашифрованные файлы на отдельный носитель, возможно в будущем расшифровка станет возможной.

 

Этот файл так же загрузите в архиве с паролем infected на облачный диск, и дайте ссылку в ЛС

2023-12-10 12:43 - 2023-12-10 12:43 - 000000144 _____ C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat

 

По очистке системы

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.
  

Start::
CloseProcesses:
SystemRestore: On
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction <==== ATTENTION
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\MRT: Restriction <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
AlternateDataStreams: C:\WINDOWS\system32\igfxCoIn_v4252.dll:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET2F65.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET314B.tmp:$CmdTcID [130]
AlternateDataStreams: C:\WINDOWS\system32\SET3BB6.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET3BF8.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET3C2B.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET3C7D.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET3F17.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET3F58.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET3F6A.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET3F8B.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\ZLhp1020.DLL:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\ZSHP1020.EXE:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\zshp1020s.dll:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\SMSS-PFRO34db.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\SysWOW64\SET33A9.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\SysWOW64\SET3A25.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\SET2C56.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\TXEIx64.sys:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\spool\prtprocs\x64\PPhp1020.DLL:$CmdTcID [64]
EmptyTemp:
Reboot:
End::

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST

+

проверьте ЛС

Изменено пользователем safety
distortion163

distortion163

Опубликовано
  • Автор
Опубликовано
8 минут назад, safety сказал:

Скорее всего, тип шифрования - Proxima/BlackShadow,это соответствует некоторым детектам на VT, а так же судя по записке о выкупе и расширению зашифрованного файла.

Дешифровать можно? Чем?

safety

safety

Опубликовано
Опубликовано (изменено)
22 hours ago, distortion163 said:

Дешифровать можно? Чем?

Пока нечем. Так же при наличии лицензии на продукт лаборатории Касперского можно обратиться в техническую поддержку.

Изменено пользователем safety
  • Like (+1) 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Прохор
      Зашифровали корпоративный сервер
      Автор Прохор
      Добрый день, зашифровали корпоративные сервера с требованием выкупа. Что делать не знаем, прилагаю образец шифра и письмо мошенников.
      файлы.rar
    • mutosha
      нужна помощь в дешефровани blackFL (есть exe и строчка с паролем из power shell)
      Автор mutosha
      Добрый день.
       
      Поймали шифровальщика "blackFL", успел скопировать строчку с паролем из открытого power shell, н арабочем столе.
      "C:\Users\Администратор\Pictures>1.exe -path E:\ -pass b9ec0c541dbfd54c9af6ca6cccedaea9"
       
       
      Сам "1.exe" из ""C:\Users\Администратор\Pictures"  скопировать не успел, но нашел какой-то "1.exe" на рабочем столе, приложил.
      Прикладываю логи Farbar Recovery Scan Tool.
       
      Прикладываю ссылку на шифрованный  файл (7.5 мегабайта, а прикрепить можно только менее 5), когда-то это был mp4 ролик, ничего меньше по размеру не нашлось.
      https://transfiles.ru/j5o79
       
      Файлов с требованием у меня встречаются почему-то три с разными названиями, содержимое вроде одно.
       
      Очень надеюсь на помощь.
       
       
      1.7z Addition_01-12-2025 00.35.40.txt FRST_01-12-2025 00.31.27.txt README_BlackFL.txt lK0kDJCSf.README.txt READ_ME.txt
    • Сергей__
      BlackFL
      Автор Сергей__
      Зашифровались файлы BlackFL
      есть дешифратор?
      TNI.zip
    • Alex F
      Шифровальщик BlackFL
      Автор Alex F
      Добрый день.
       
      Прошу помощи в расшифровке файлов зашифрованных вирусом вымогателем.
       
      Архив во вложении. 
      Archive.7z
    • MBA
      Вирус шифровальщик. Файлы с расширением hype
      Автор MBA
      Добрый день. Заразились компы. Помогите с расшифровкой. Файлы зашифрованы и добавилось расширение с текстом ".EMAIL=[ranshype@gmail.com]ID=[35390D080FB82A02].hype". Архив с результатами сканирования, сообщением о выкупе и примерами зашифрованных файлов прилагаю;
      Архив.zip
×
×
  • Создать...