Перейти к содержанию
Квест по поездкам на дни рождения клуба
Важная информация для участников клуба

Попал шифровальщик Jack

Slider07
 Share Подписчики 1

Рекомендуемые сообщения

Slider07

Slider07 0

Опубликовано
Опубликовано

Здравствуйте, словил шифровальщика, видимо по RDP, так как были левые учётки, зашифровали все файлы с расширением .jack

прикладываю файлы, и кажется сам вирус. Возможно ли восстановить что нибудь?

virus pass.zip Jack_Help.txt files.zip

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 101

Опубликовано
Опубликовано

Уточните пароль к архиву files.zip

подготовьте, пожалуйста, логи по правилам:

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

Ссылка на сообщение
Поделиться на другие сайты
Slider07

Slider07 0

Опубликовано
  • Автор
Опубликовано

пароль files

 

анализ чуть позже дошлю

 

 

1 час назад, Slider07 сказал:

пароль files

 

анализ чуть позже дошлю

 

найден ещё один файл (пароль virus), после сканированию с помощью лайв сд, винда упала, отказывается загружаться, попробую восстановить

virus2.zip

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 101

Опубликовано
Опубликовано (изменено)
12 hours ago, Slider07 said:

найден ещё один файл (пароль virus)

это запчасть к шифровальщику - вайпер, но не сам шифровальщик. Первый файл, так же не является шифровальщиком. Ждем логи FRST.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
Slider07

Slider07 0

Опубликовано
  • Автор
Опубликовано
10 часов назад, safety сказал:

это запчасть к шифровальщику - вайпер, но не сам шифровальщик. Первый файл, так же не является шифровальщиком. Ждем логи FRST.

не получается никак запустить систему, можно ли как то создать лог через live cd?

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 101

Опубликовано
Опубликовано (изменено)

Сделайте тогда образ автозапуска из под Winpe, возможно он поможет вам с восстановлением  системы.

Скачать образ отсюда:

записать на загрузочную  флэшку,

загрузить систему с флэшки,

автоматически будет запущено стартовое окно (uvs) start.exe

В этом окне необходимо будет выбрать и указать каталог Windows с зашифрованного устройства.

далее, текущий пользователь.

После загрузки основного окна выбираем Файл - создать полный образ автозапуска.

Фвйл образа надо будет сохранить в каталог tools на диске X, чтобы после завершения работы вы могли передать нам образ.

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
Slider07

Slider07 0

Опубликовано
  • Автор
Опубликовано (изменено)
23 минуты назад, safety сказал:

Сделайте тогда образ автозапуска из под Winpe, возможно он поможет вам с восстановлением  системы.

Скачать образ отсюда:

записать на загрузочную  флэшку,

загрузить систему с флэшки,

автоматически будет запущено стартовое окно (uvs) start.exe

В этом окне необходимо будет выбрать и указать каталог Windows с зашифрованного устройства.

далее, текущий пользователь.

После загрузки основного окна выбираем Файл - создать полный образ автозапуска.

Фвйл образа надо будет сохранить в каталог tools на диске X, чтобы после завершения работы вы могли передать нам образ.

 

вот отчёт, так же нашёл длл файл созданный при заражении. так же на каждом диске есть большой файл темп под сотню гигабайт.

SERVERKEEPER_2024-01-21_19-06-50_v4.15.1.7z mcv321.zip

Изменено пользователем Slider07
редактирование
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 101

Опубликовано
Опубликовано (изменено)

Хорошо, по файлам:

ваши файлы?

C:\WINDOWS\SYSTEM32\SHOST.BAT

(АТРИБУТ ФАЙЛА ~ "СКРЫТЫЙ" ИЛИ "СИСТЕМНЫЙ")(1)   AND   (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1) [auto (0)]

c:\Windows\System32\sqldeveloper start default --config c:\windows\svchost.dll

 

C:\WINDOWS\SVCHOST.DLL

(АТРИБУТ ФАЙЛА ~ "СКРЫТЫЙ" ИЛИ "СИСТЕМНЫЙ")(1)   AND   (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1) [auto (0)]

START DEFAULT --CONFIG C:\WINDOWS\SVCHOST.DLL

 

C:\WINDOWS\SYSTEM32\SVHOST.BAT

(АТРИБУТ ФАЙЛА ~ "СКРЫТЫЙ" ИЛИ "СИСТЕМНЫЙ")(1)   AND   (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1) [auto (0)]

c:\Windows\System32\sqldevelopers start default --config c:\windows\svchost.dll

 

C:\WINDOWS\SYSTEM32\SVSHOST.BAT

c:\Windows\System32\svshost start default --config c:\windows\svchost.dll

------

mcv321.dll - скорее всего запчасть к шифровальщику, используется для логирования.

 

тела шифровальщика в автозапуске нет.

 

так и должно быть, что загрузчика нет на C?

Quote

 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888] [Windows 0.0.0 SP0 ]
; SYSTEM.INI и Загрузчики

автозапуск | MMDRV.DLL
автозапуск | TIMER.DRV
загрузчик  | F:\BOOTMGR
загрузчик  | E:\BOOTMGR
загрузчик  | F:\BOOTMGR.EFI

 

 

 

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
Slider07

Slider07 0

Опубликовано
  • Автор
Опубликовано (изменено)
3 часа назад, safety сказал:

Хорошо, по файлам:

ваши файлы?

C:\WINDOWS\SYSTEM32\SHOST.BAT

(АТРИБУТ ФАЙЛА ~ "СКРЫТЫЙ" ИЛИ "СИСТЕМНЫЙ")(1)   AND   (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1) [auto (0)]

c:\Windows\System32\sqldeveloper start default --config c:\windows\svchost.dll

 

C:\WINDOWS\SVCHOST.DLL

(АТРИБУТ ФАЙЛА ~ "СКРЫТЫЙ" ИЛИ "СИСТЕМНЫЙ")(1)   AND   (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1) [auto (0)]

START DEFAULT --CONFIG C:\WINDOWS\SVCHOST.DLL

 

C:\WINDOWS\SYSTEM32\SVHOST.BAT

(АТРИБУТ ФАЙЛА ~ "СКРЫТЫЙ" ИЛИ "СИСТЕМНЫЙ")(1)   AND   (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1) [auto (0)]

c:\Windows\System32\sqldevelopers start default --config c:\windows\svchost.dll

 

C:\WINDOWS\SYSTEM32\SVSHOST.BAT

c:\Windows\System32\svshost start default --config c:\windows\svchost.dll

------

mcv321.dll - скорее всего запчасть к шифровальщику, используется для логирования.

 

тела шифровальщика в автозапуске нет.

 

так и должно быть, что загрузчика нет на C?

 

 

 

файлы не мои, ничего лишнего не делал в системных папках. 

 

загрузчик поврежден видимо, т.к. после сканирования через лайв сд и чистку система перестала запускаться, пытался восстановить загрузчик, но не получилось.

 

исходя из всего этого, можно ли что либо сделать? есть ли возможность дешифровать?

Изменено пользователем Slider07
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 101

Опубликовано
Опубликовано

Расшифровки по Proxima/BlackShadow на текущий момент нет, к сожалению. восстановление, в вашем случае возможно только из архивных копий. Сохраните так же важные зашифрованные документы на отдельный носитель,  возможно в будущем расшифровка станет возможной.

 

По восстановлению системы.

попробуйте использовать диски восстановления, возможно через диски восстановления получится восстановить загрузку системы.

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 101

Опубликовано
Опубликовано
11 hours ago, Slider07 said:

исходя из всего этого, можно ли что либо сделать? есть ли возможность дешифровать?

Надо проверить файл svchost.dll, возможно использовался для взлома системы.

 

Скрипт сохраните из вложения в папку tools на загрузочном диске

Выполните в uVS (из под winpe) скрипт из файла

ЗАпускаем start,exe от имени Администратора (если не запущен)

В этом окне необходимо будет выбрать и указать каталог Windows с зашифрованного устройства.

текущий пользователь,

В главном меню выбираем "Скрипт - выполнить скрипт из файла"

В диалоге выберите файла скрипта из tools.

Скрипт автоматически очистит систему и и завершит работу uVS

Сохраните архив ZOO_дата_время.7z в папку tools и предоставьте данный архив нам

 

 

scr01.txt

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • LiSenya
      Вирус-шифровальщик зашифровал файлы и добавил к ним расширение ELONS
      От LiSenya
      Вирус-шифровальщик зашифровал файлы и добавил к ним расширение ELONS.
      Прилагаю логи: txt файл, архив который зашифровали, зашифрованную JSON и оригинальную.
      Так же ссылка на вирустотл: VirusTotal - File - 35a2666e8267886eba8b049a6801a59b2db817e73a0956bda6257b90038ab411
      Будем очень признательны за любую помощь!
       
      Архив запаролен. Пароль в ЛС
       
      шифрФайлы.rar
    • indeedx
      Вирус senator
      От indeedx
      вирус senator, там есть текстовой файл с ID - Your Decryption ID: 8E9A415AB6660F85
      FRST.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • artyllerist86
      Шифровальщик зашифровал файлы .abram
      От artyllerist86
      Сегодня ночью произошло заражение компьютера. В следствии чего не понятно. Похоже сам компьютер был взломан. Большая часть файлов зашифрована с расширением .abram
      логи farbar.zip зашифрованные файлы и записка.zip
    • gts
      Возможно ли расшифровать? *.SENATOR
      От gts
      Проблемная машина уже не в сети, и ее спасать не нужно.
      Задело немного файлы шары(на линуксе), есть ли спасение на данный момент от этой напасти?
       
      crypt.rar
    • AndreyMagiRus
      Зашифрованные файлы с расширением BLackShadow
      От AndreyMagiRus
      Предположительно, используя протокол RDP, злоумышленники получили доступ к нескольким ПК локальной сети (на одном из них стоял Kaspersky Security Cloud, но это его не спасло. В результате чего большинство файлов (текстовые, офисные, картинки, музыка, видео и т.д) были зашифрованы и переименованы путем добавления расширения .BLackShadow к каждому из них, ну и стандартный текстовый файлик с контактами и требованиями связаться с ними, иначе файлы пропадут и будут опубликованы в Даркнете. Компьютеры были вылечены утилитой KVRT, который обнаружил множественные заражения исполняемых файлов вирусом Virus.Win32.Neshta.a. Насколько я понимаю, именно шифрованием данный вирус не занимается, в связи с этим вопрос, как вообще узнать чем зашифрованы файлы? И каковы шансы на дешифрацию? Что можно попробовать сделать и куда обратиться с подобной проблемой, в том числе и на платной основе? Образцы зашифрованных файлов + требования злоумышленников, а также результат работы Farbar Recovery Scan Tool прилагаю. 
      Addition.txt Образцы BLackShadow.7z FRST.txt
×
×
  • Создать...