Перейти к содержанию

поймали шифровальщик neuB5bCEJ

bOObblepOwer
 Share Подписчики 1

Рекомендуемые сообщения

bOObblepOwer

bOObblepOwer 0

Опубликовано
Опубликовано

добрый день. сотрудница поймала шифровальщика. как и где понять не удалось. на nomoreransom и id-ransomware такого шифровальщика не нашел. прошу вашей помощи. архив и логи  фарбар приклепляю.

файлы и записка.zip Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 83

Опубликовано
Опубликовано

Судя по логам FRST система уже очищена от активных тел шифровальщика. Загрузите, пожалуйста, логи сканирования если выполняли утилитами Cureit или штатным антивирусом.

 

Для профилактической очистки:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее. 

Start::
CloseProcesses:
SystemRestore: On
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
Startup: C:\Users\123\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\updater.lnk [2023-12-13]
ShortcutTarget: updater.lnk -> C:\Users\123\AppData\Roaming\updater.exe (Нет файла)
EmptyTemp:
Reboot:
End::

 

Файлы зашифрованы Lockbit v3 Black/Cryptomangimo. На текущий момент расшифровка невозможна без приватного ключа.

Сохраните зашифрованные файлы на отдельный носитель, возможно расшифровка станет возможной в будущем.

 

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 83

Опубликовано
Опубликовано
Quote

 

C:\Users\123\AppData\Roaming\updater.exe - infected with BackDoor.Bifrost.29284

C:\Users\123\AppData\Roaming\26365794.tmp.exe - infected with Trojan.Siggen22.14123

C:\Users\123\AppData\Local\Temp\Rar$EXa0.327\Aкт cвepки взaимopacчeтoв за периoд 01.09.2023 - 28.11.2023 гoдa.exe - infected with BackDoor.RevetRat.2

 

 

Запретите у пользователей запуск исполняемых файлов из всех типов архивов. Эта группа наиболее активна, и и шифрует Lockbit v3 Black после открытия пользователем рассылаемых через почту архивных вложений с вредоносным файлом.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • AndreyBN
      Вирус с названием DARKSTAR. mNZqvBj0Q
      От AndreyBN
      Здравствуйте. Заразился компьютер примерно в выходные  (28.04.24) когда был подключен к удаленному рабочему столу. Хотелось восстановить файлы. Пароль на архив - virus
      virus.rar FRST.txt Addition.txt
    • ООО КИП
      Зашифровали данные на пк и серверах (возможно HEUR:Trojan-Ransom)
      От ООО КИП
      Добрый день.
      Зашифровали данные на пк и серверах (возможно HEUR:Trojan-Ransom)
       
      Сегодня (29.04.2024) были зашифрованы данные на рабочих станциях и серверах компании.
      В 28.04.2024 23:19:47 на сервере ДС была создана Групповая политика с применением ко "Всем", "Прошедшим проверку" и "СИСТЕМА" 
      в настройке ГП:  
      1. отключаются службы теневого копирования и Брандмауэр Windows
      2. в планировщике создаются три назначенные задачи копирования, и исполнения файла
      2.1 ds.exe 
      powershell.exe Copy-Item "\\o*сетевая папка домена*e\netlogon\ds.exe" -Destination "C:\ProgramData" 2.2 запуск 
      cmd.exe /c c:\programdata\ds.exe -pass 12abeef955e1c76cce1c360ddd6de103 2.3 и запуск из сетевой папки 
      cmd.exe Аргументы /c \\o*сетевая папка домена*e\netlogon\ds.exe -pass 12abeef955e1c76cce1c360ddd6de103 2.4 задачи немедленного исполнения по запуску скрипта PS и чистка логов 
      Немедленная задача (Windows 7 и выше) (имя: 1) powershell.exe Аргументы -ex bypass -f \\o*сетевая папка домена*e\netlogon\1.ps1 Немедленная задача (Windows 7 и выше) (имя: log) cmd.exe Аргументы /c for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"  
      после этого на зашифрованных машинах появился файл с содержимым ( весь файл приложу во вложениях)
       
       
      Утилиты Касперского определили как HEUR:Trojan-Ransom 
      ESET Определил как - Filecoder.BlackMatter.K 
       
      Просьба помочь в расшифровке файлов. может получится подобрать дешифратор
       
      Во вложении включил файлы зашифрованные и оригиналы файлов (уцелевшие) отдельным архивом
       
      Так же есть исполняемый файл  ds.exe (пока не прикладывал)
      decode.zip Addition.txt FRST.txt
    • quietstorm
      Файлы зашифрованы .j8mzhi9uZ
      От quietstorm
      Добрый день, аналогичная проблема. Тоже шифровальщик с таки же расширением .j8mzhi9uZ
      Диск был изъят и просмотрен на другой машине. 1c.cmd closeapps.bat LogDelete.bat Shadow.bat и еще подозрительные файлы были найдены в папке шаблоны документов office.  Могу предположить что заражение через открытие офисного файла.

      Ссылка на архив с вышеуказанными файлами, запиской, образцом, и подозрительными exe  файлами. Может поможет в борьбе, так как мне тоже требуется помощь.

      Пароль  virus
      Ссылка на диск так как вес 11мб
      --------
      ссылка удалена.
    • Андрей Ф
      зашифровались вчера файлы . расширение qe9ZSDxfq
      От Андрей Ф
      вчера зашифровались файлы. 
      расширение qe9ZSDxfq
      есть и README с вымогательством , найден и сам updater.exe и svchost (которые полагаю шифровальщик). при необходимости можно найти оригиналы некоторых файлов до шифрования ( на сервере)
      приложу отчет FRST , несколько зашифрованных файлов и текст от вымогателей. Файлы exe при необходимости вышлю
      FRST.txt Addition.txt зашированные.zip
    • MagicSe
      Поймали шифровальщик. Расширение iX7XLnlvs
      От MagicSe
      Поймали шифровальщик. Расширение iX7XLnlvs. Похоже Ransom.Lockbit. Как одолеть сию напасть?
×
×
  • Создать...