Перейти к содержанию

Шифровальщик Tisak Ransomware


Рекомендуемые сообщения

Приветствую. Взломали компьютер по сети, подобрали пароль от доменной администраторской УЗ, отключили антивирус Касперского и зашифровали все включенные компьютеры и серверы. Файлы с расширением "*.Tisak". В Tisak_Help.txt фигурирует название шифровальщика: Tisak Ransomware. Выкладываю пример зашифрованного файла.

data.zip.Tisak.zip

Изменено пользователем distortion163
Ссылка на комментарий
Поделиться на другие сайты

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool. Если система была переустановлена, то предупредите консультантов в своей теме об этом.

 

Подготовьте несколько небольших зашифрованных документов (двух будет достаточно), файл с требованиями злоумышленников и упакуйте их в архив.

 

Добавьте, пожалуйста, все необходимые файлы по правилам.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

11 часов назад, safety сказал:

Добавьте, пожалуйста, все необходимые файлы по правилам.

Прикрепляю лог файлы, а также архив с зашифрованными файлами и файлом с требованием. 

Также есть файл вирус, могу прислать куда нужно.

Addition.txt FRST.txt data.zip

Ссылка на комментарий
Поделиться на другие сайты

2 minutes ago, distortion163 said:

Также есть файл вирус, могу прислать куда нужно.

Файл шифровальщика добавьте в архив с паролем infected, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

Ссылка на комментарий
Поделиться на другие сайты

2 минуты назад, safety сказал:

Файл шифровальщика добавьте в архив с паролем infected, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

ok

Изменено пользователем distortion163
Ссылка на комментарий
Поделиться на другие сайты

47 minutes ago, distortion163 said:

ok

Скорее всего, тип шифрования - Proxima/BlackShadow,это соответствует некоторым детектам на VT, а так же судя по записке о выкупе и расширению зашифрованного файла.

Характерная для данного типа задача запуска:

SCHTASKS.exe /Create /RU NT AUTHORITY\SYSTEM /sc onstart /TN Windows Update BETA /TR C:\Users\<USER>\Downloads\filecoder.exe /F

К сожалению, расшифровки о данному типу шифровальщика нет на текущий момент. Сохраните важные зашифрованные файлы на отдельный носитель, возможно в будущем расшифровка станет возможной.

 

Этот файл так же загрузите в архиве с паролем infected на облачный диск, и дайте ссылку в ЛС

2023-12-10 12:43 - 2023-12-10 12:43 - 000000144 _____ C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat

 

По очистке системы

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.
 

Start::
CloseProcesses:
SystemRestore: On
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction <==== ATTENTION
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\MRT: Restriction <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
AlternateDataStreams: C:\WINDOWS\system32\igfxCoIn_v4252.dll:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET2F65.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET314B.tmp:$CmdTcID [130]
AlternateDataStreams: C:\WINDOWS\system32\SET3BB6.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET3BF8.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET3C2B.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET3C7D.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET3F17.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET3F58.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET3F6A.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\SET3F8B.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\ZLhp1020.DLL:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\ZSHP1020.EXE:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\zshp1020s.dll:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\SMSS-PFRO34db.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\SysWOW64\SET33A9.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\SysWOW64\SET3A25.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\SET2C56.tmp:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\TXEIx64.sys:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\spool\prtprocs\x64\PPhp1020.DLL:$CmdTcID [64]
EmptyTemp:
Reboot:
End::

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST

+

проверьте ЛС

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

8 минут назад, safety сказал:

Скорее всего, тип шифрования - Proxima/BlackShadow,это соответствует некоторым детектам на VT, а так же судя по записке о выкупе и расширению зашифрованного файла.

Дешифровать можно? Чем?

Ссылка на комментарий
Поделиться на другие сайты

22 hours ago, distortion163 said:

Дешифровать можно? Чем?

Пока нечем. Так же при наличии лицензии на продукт лаборатории Касперского можно обратиться в техническую поддержку.

Изменено пользователем safety
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • hobbit86
      От hobbit86
      Добрый день!
      На сервер 1С попал шифровальщик King Ransomware. Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      Проблема появилась после посещения специалиста обслуживающей 1С компании по Anydesk.
       
      FRST.txt Virus.rar Encrypted.rar
    • Александр94
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • BOBO
      От BOBO
      Попросили создать новую тему не знаю почему ту закрыли вот создаю. Меня тоже взломали 25 числа hdd весит на роутере, smb открыт был. Покапалься в файлах были несколько оригинальных файлов и вроде шифрование AES в режиме ECB. Встал вопрос можно ли найти ключ шифрования если например нашел зашифрованный блок пробелов 16 байт. 
    • FineGad
      От FineGad
      26.12.24 На файловом сервере (комп с Debian) в расшареных каталогах заметил текстовый файл !want_to_cry.txt 
      Просканировал все каталоги доступные по сети (SMB) зашифрованные файлы с расширением .want_to_cry по времени создания файлов видно что шифровальщик проработал примерно с 24.12.24 20:05  по 25.12.24 03:05 после чего сервер "завис". Сейчас шифровщик не активен (новые шифрованные файлы не появляются). Доступа к сети извне нет, кроме SSH с ключом шифрования. В сети кроме моего во время активности были еще 2 компьютера под управление Windows.
       
      !want_to_cry.txt
    • IrinaC
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
×
×
  • Создать...