Перейти к содержанию

Рекомендуемые сообщения

Дмитрий БСМП

В новогоднюю ночь поураганил шифровщик, прошёлся по файловым шарам, начиная с шар на СХД. Очень хотелось бы оценить возможность расшифровки у специалистов,

Шифрованное.rar Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

Логи с него? систему уже проверяли сканерами? можете предоставить логи сканирования? файл шифровальщика может быть ryuk.exe или ryuk64,exe. Что касается расшифровки - то версия FONIX/RYUK  после 03.06.2023 не может быть расшифрована без приватного ключа.

+

проверьте ЛС

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
Дмитрий БСМП

Логи с определённого нулевого пациента. Также там был обнаружен mimikatz. Файла шифровальщика нет, дежурные удалили его из хранилища.

Шифрованное нулевой пациент.rar Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

Да, это инструменты злоумышленников.

Quote

2023-12-31 21:27 - 2023-12-31 21:27 - 000000000 ____D C:\Users\Администратор\Desktop\mimikatz
2023-12-31 21:26 - 2023-09-28 13:36 - 001201853 _____ C:\Users\Администратор\Desktop\mimikatz.zip
2023-12-31 21:15 - 2023-12-31 21:38 - 000015908 _____ C:\Users\Администратор\advanced_port_scanner_MAC.bin
2023-12-31 21:15 - 2023-12-31 21:38 - 000000015 _____ C:\Users\Администратор\advanced_port_scanner_Comments.bin
2023-12-31 21:15 - 2023-12-31 21:38 - 000000015 _____ C:\Users\Администратор\advanced_port_scanner_Aliases.bin
2023-12-31 20:52 - 2023-12-31 20:52 - 020386224 _____ (Famatech Corp. ) C:\Users\Администратор\Downloads\Advanced_Port_Scanner_2.5.3869.exe
2023-12-31 20:52 - 2023-12-31 20:52 - 000000973 _____ C:\Users\Public\Desktop\Advanced Port Scanner.lnk
2023-12-31 20:52 - 2023-12-31 20:52 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced Port Scanner v2
2023-12-31 20:52 - 2023-12-31 20:52 - 000000000 ____D C:\Program Files (x86)\Advanced Port Scanner
2023-12-31 20:50 - 2023-12-31 20:50 - 021050672 _____ (Famatech Corp. ) C:\Users\Администратор\Downloads\Advanced_IP_Scanner_2.5.4594.1.exe
2023-12-31 20:50 - 2023-12-31 20:50 - 000000953 _____ C:\Users\Public\Desktop\Advanced IP Scanner.lnk
2023-12-31 20:50 - 2023-12-31 20:50 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced IP Scanner v2
2023-12-31 20:50 - 2023-12-31 20:50 - 000000000 ____D C:\Program Files (x86)\Advanced IP Scanner

2023-12-13 21:01 - 2023-12-13 21:01 - 000000000 ____D C:\Users\klim\AppData\Roaming\Process Hacker 2
2023-12-13 21:00 - 2023-12-13 21:00 - 000001936 _____ C:\Users\klim\Desktop\Process Hacker 2.lnk
2023-12-13 21:00 - 2023-12-13 21:00 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2023-12-13 21:00 - 2023-12-13 21:00 - 000000000 ____D C:\Program Files\Process Hacker 2
2023-12-13 20:59 - 2023-12-13 20:59 - 002267848 _____ (wj32 ) C:\Users\klim\Downloads\processhacker-2.39-setup.exe

 

судя по файлу hrmlog1 шифрование было выполнено модифицированной версией, без возможности расшифровки без приватного ключа.

+

проверьте, что в этом каталоге:

2023-12-13 20:47 - 2023-12-13 21:08 - 000000000 ____D C:\Users\klim\Downloads\Files__P@sswrds__2024

+

проверьте ЛС.

 

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • f1ma
      От f1ma
      Добрый день!
      Поймали вирус-шифровальщик на сервер. Практически все файлы имеют расширение .RYK или RYKCRYPT.
      Существует ли дешифратор на наш вариант вируса? Или возможно посоветуйте какие-либо действия для расшифровки файлов.
      Прикрепляю логи анализа, зашифрованные документы и требования. Файл шифровальщика пока не нашел. 
      FRST.txt Файлы_требования.zip
    • Татьяна Калякина
      От Татьяна Калякина
      Поймали шифровальщика на сервере 1С - SQL. Зашифрованы все базы 1С и все оперативные BackUp. 
      Addition.txt FRST.txt Ryuk64.rar
×
×
  • Создать...