Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Попал шифровальщик Jack

Slider07
 Поделиться

Рекомендуемые сообщения

Slider07 Новичок

Slider07

Опубликовано
Опубликовано

Здравствуйте, словил шифровальщика, видимо по RDP, так как были левые учётки, зашифровали все файлы с расширением .jack

прикладываю файлы, и кажется сам вирус. Возможно ли восстановить что нибудь?

virus pass.zipПолучение информации... Jack_Help.txtПолучение информации... files.zipПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Уточните пароль к архиву files.zip

подготовьте, пожалуйста, логи по правилам:

  Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

Показать  
Ссылка на комментарий
Поделиться на другие сайты
Slider07 Новичок

Slider07

Опубликовано
  • Автор
Опубликовано

пароль files

 

анализ чуть позже дошлю

 

 

  В 20.01.2024 в 14:31, Slider07 сказал:

пароль files

 

анализ чуть позже дошлю

 

Показать  

найден ещё один файл (пароль virus), после сканированию с помощью лайв сд, винда упала, отказывается загружаться, попробую восстановить

virus2.zipПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
  В 20.01.2024 в 14:31, Slider07 сказал:

найден ещё один файл (пароль virus)

Показать  

это запчасть к шифровальщику - вайпер, но не сам шифровальщик. Первый файл, так же не является шифровальщиком. Ждем логи FRST.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Slider07 Новичок

Slider07

Опубликовано
  • Автор
Опубликовано
  В 21.01.2024 в 02:37, safety сказал:

это запчасть к шифровальщику - вайпер, но не сам шифровальщик. Первый файл, так же не является шифровальщиком. Ждем логи FRST.

Показать  

не получается никак запустить систему, можно ли как то создать лог через live cd?

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Сделайте тогда образ автозапуска из под Winpe, возможно он поможет вам с восстановлением  системы.

Скачать образ отсюда:

записать на загрузочную  флэшку,

загрузить систему с флэшки,

автоматически будет запущено стартовое окно (uvs) start.exe

В этом окне необходимо будет выбрать и указать каталог Windows с зашифрованного устройства.

далее, текущий пользователь.

После загрузки основного окна выбираем Файл - создать полный образ автозапуска.

Фвйл образа надо будет сохранить в каталог tools на диске X, чтобы после завершения работы вы могли передать нам образ.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Slider07 Новичок

Slider07

Опубликовано
  • Автор
Опубликовано (изменено)
  В 21.01.2024 в 13:45, safety сказал:

Сделайте тогда образ автозапуска из под Winpe, возможно он поможет вам с восстановлением  системы.

Скачать образ отсюда:

записать на загрузочную  флэшку,

загрузить систему с флэшки,

автоматически будет запущено стартовое окно (uvs) start.exe

В этом окне необходимо будет выбрать и указать каталог Windows с зашифрованного устройства.

далее, текущий пользователь.

После загрузки основного окна выбираем Файл - создать полный образ автозапуска.

Фвйл образа надо будет сохранить в каталог tools на диске X, чтобы после завершения работы вы могли передать нам образ.

 

Показать  

вот отчёт, так же нашёл длл файл созданный при заражении. так же на каждом диске есть большой файл темп под сотню гигабайт.

SERVERKEEPER_2024-01-21_19-06-50_v4.15.1.7zПолучение информации... mcv321.zipПолучение информации...

Изменено пользователем Slider07
редактирование
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Хорошо, по файлам:

ваши файлы?

C:\WINDOWS\SYSTEM32\SHOST.BAT

(АТРИБУТ ФАЙЛА ~ "СКРЫТЫЙ" ИЛИ "СИСТЕМНЫЙ")(1)   AND   (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1) [auto (0)]

c:\Windows\System32\sqldeveloper start default --config c:\windows\svchost.dll

 

C:\WINDOWS\SVCHOST.DLL

(АТРИБУТ ФАЙЛА ~ "СКРЫТЫЙ" ИЛИ "СИСТЕМНЫЙ")(1)   AND   (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1) [auto (0)]

START DEFAULT --CONFIG C:\WINDOWS\SVCHOST.DLL

 

C:\WINDOWS\SYSTEM32\SVHOST.BAT

(АТРИБУТ ФАЙЛА ~ "СКРЫТЫЙ" ИЛИ "СИСТЕМНЫЙ")(1)   AND   (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1) [auto (0)]

c:\Windows\System32\sqldevelopers start default --config c:\windows\svchost.dll

 

C:\WINDOWS\SYSTEM32\SVSHOST.BAT

c:\Windows\System32\svshost start default --config c:\windows\svchost.dll

------

mcv321.dll - скорее всего запчасть к шифровальщику, используется для логирования.

 

тела шифровальщика в автозапуске нет.

 

так и должно быть, что загрузчика нет на C?

  Quote

 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888] [Windows 0.0.0 SP0 ]
; SYSTEM.INI и Загрузчики

автозапуск | MMDRV.DLL
автозапуск | TIMER.DRV
загрузчик  | F:\BOOTMGR
загрузчик  | E:\BOOTMGR
загрузчик  | F:\BOOTMGR.EFI

 

Показать  

 

 

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Slider07 Новичок

Slider07

Опубликовано
  • Автор
Опубликовано (изменено)
  В 21.01.2024 в 14:40, safety сказал:

Хорошо, по файлам:

ваши файлы?

C:\WINDOWS\SYSTEM32\SHOST.BAT

(АТРИБУТ ФАЙЛА ~ "СКРЫТЫЙ" ИЛИ "СИСТЕМНЫЙ")(1)   AND   (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1) [auto (0)]

c:\Windows\System32\sqldeveloper start default --config c:\windows\svchost.dll

 

C:\WINDOWS\SVCHOST.DLL

(АТРИБУТ ФАЙЛА ~ "СКРЫТЫЙ" ИЛИ "СИСТЕМНЫЙ")(1)   AND   (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1) [auto (0)]

START DEFAULT --CONFIG C:\WINDOWS\SVCHOST.DLL

 

C:\WINDOWS\SYSTEM32\SVHOST.BAT

(АТРИБУТ ФАЙЛА ~ "СКРЫТЫЙ" ИЛИ "СИСТЕМНЫЙ")(1)   AND   (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1) [auto (0)]

c:\Windows\System32\sqldevelopers start default --config c:\windows\svchost.dll

 

C:\WINDOWS\SYSTEM32\SVSHOST.BAT

c:\Windows\System32\svshost start default --config c:\windows\svchost.dll

------

mcv321.dll - скорее всего запчасть к шифровальщику, используется для логирования.

 

тела шифровальщика в автозапуске нет.

 

так и должно быть, что загрузчика нет на C?

 

 

 

Показать  

файлы не мои, ничего лишнего не делал в системных папках. 

 

загрузчик поврежден видимо, т.к. после сканирования через лайв сд и чистку система перестала запускаться, пытался восстановить загрузчик, но не получилось.

 

исходя из всего этого, можно ли что либо сделать? есть ли возможность дешифровать?

Изменено пользователем Slider07
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Расшифровки по Proxima/BlackShadow на текущий момент нет, к сожалению. восстановление, в вашем случае возможно только из архивных копий. Сохраните так же важные зашифрованные документы на отдельный носитель,  возможно в будущем расшифровка станет возможной.

 

По восстановлению системы.

попробуйте использовать диски восстановления, возможно через диски восстановления получится восстановить загрузку системы.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
  В 21.01.2024 в 18:36, Slider07 сказал:

исходя из всего этого, можно ли что либо сделать? есть ли возможность дешифровать?

Показать  

Надо проверить файл svchost.dll, возможно использовался для взлома системы.

 

Скрипт сохраните из вложения в папку tools на загрузочном диске

Выполните в uVS (из под winpe) скрипт из файла

ЗАпускаем start,exe от имени Администратора (если не запущен)

В этом окне необходимо будет выбрать и указать каталог Windows с зашифрованного устройства.

текущий пользователь,

В главном меню выбираем "Скрипт - выполнить скрипт из файла"

В диалоге выберите файла скрипта из tools.

Скрипт автоматически очистит систему и и завершит работу uVS

Сохраните архив ZOO_дата_время.7z в папку tools и предоставьте данный архив нам

 

 

scr01.txtПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • АндрейП
      Шифровальщик READ-ME-Nullhexxx
      Автор АндрейП
      Здравствуйте. Зашифровали два стареньких сервера терминалов, источник не понятен- ещё разбираемся. Подскажите есть шанс на расшифровку? На одном сервере у одного пользователя нашел в папке Pictures остатки вредоносного ПО, на втором в новой созданной злоумышленником учетке system32 почти такие же файлы, пришлю по запросу.
       
      файлы.rar
    • WL787878
      Шифровальщик
      Автор WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
    • kokc1979
      Шифровальщик ooo4ps bitlocker
      Автор kokc1979
      Подхватил заразу. Вчера всё работало. Сегодня вечером обнаружилась проблема с шифровалкой. Ни какое ПО в этот промежуток ремени не устанавливалось. Ни чего не скачивалось.
      Log.rar 3File.rar
    • Saul
      Шифровальщик. Расширение aiLuw2ie
      Автор Saul
      Добрый день!
      Вот такое поймали, зашифрованы все файлы на сетевой шаре.
      Есть способы для расшифровки?
       
      Все ваши файлы были зашифрованы!
          Все ваши файлы были зашифрованы из -за проблемы безопасности с вашим ПК.
          Если вы хотите их восстановить
          Установите программу для общения https://tox.chat/clients.html
      https://github.com/uTox/uTox/releases/
      https://github.com/uTox/uTox/releases/download/v0.18.1/utox_x86_64.exe
      и добавьте нас
       
      2C6D0C2F49F19EAE34A558AC646E5C75230928DA64B46DBD6087B036ED651146575435EFEFFC
      ВНИМАНИЕ!
          !!!Не трогайте зашифрованные файлы.!!!
          !!!Не пытайтесь расшифровать ваши данные, используя стороннее программное обеспечение, это может вызвать потерю данных.!!!
      1.zip
    • h1b1
      Шифровальщик ooo4ps. bitlocker
      Автор h1b1
      Добрый день , были зашифрованы файлы с расширение ooop4s и диск залочили bitlocker 
      oc windows server 2019 standard
      заранее спасибо за помощь
      Addition.txt FILES_ENCRYPTED.txt FRST.txt files.rar
×
×
  • Создать...