blackshadow Попал шифровальщик Jack

[Slider07]

Здравствуйте, словил шифровальщика, видимо по RDP, так как были левые учётки, зашифровали все файлы с расширением .jack

прикладываю файлы, и кажется сам вирус. Возможно ли восстановить что нибудь?

virus pass.zip Jack_Help.txt files.zip

[safety]

Уточните пароль к архиву files.zip

подготовьте, пожалуйста, логи по правилам:

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

[Slider07]

пароль files

 

анализ чуть позже дошлю

 

 

1 час назад, Slider07 сказал:

пароль files

 

анализ чуть позже дошлю

 

найден ещё один файл (пароль virus), после сканированию с помощью лайв сд, винда упала, отказывается загружаться, попробую восстановить

virus2.zip

[safety]

12 hours ago, Slider07 said:

найден ещё один файл (пароль virus)

это запчасть к шифровальщику - вайпер, но не сам шифровальщик. Первый файл, так же не является шифровальщиком. Ждем логи FRST.

Изменено 21 января пользователем safety

[Slider07]

10 часов назад, safety сказал:

это запчасть к шифровальщику - вайпер, но не сам шифровальщик. Первый файл, так же не является шифровальщиком. Ждем логи FRST.

не получается никак запустить систему, можно ли как то создать лог через live cd?

[safety]

Сделайте тогда образ автозапуска из под Winpe, возможно он поможет вам с восстановлением  системы.

Скачать образ отсюда:

записать на загрузочную  флэшку,

загрузить систему с флэшки,

автоматически будет запущено стартовое окно (uvs) start.exe

В этом окне необходимо будет выбрать и указать каталог Windows с зашифрованного устройства.

далее, текущий пользователь.

После загрузки основного окна выбираем Файл - создать полный образ автозапуска.

Фвйл образа надо будет сохранить в каталог tools на диске X, чтобы после завершения работы вы могли передать нам образ.

 

Изменено 21 января пользователем safety

[Slider07]

23 минуты назад, safety сказал:

Сделайте тогда образ автозапуска из под Winpe, возможно он поможет вам с восстановлением  системы.

Скачать образ отсюда:

записать на загрузочную  флэшку,

загрузить систему с флэшки,

автоматически будет запущено стартовое окно (uvs) start.exe

В этом окне необходимо будет выбрать и указать каталог Windows с зашифрованного устройства.

далее, текущий пользователь.

После загрузки основного окна выбираем Файл - создать полный образ автозапуска.

Фвйл образа надо будет сохранить в каталог tools на диске X, чтобы после завершения работы вы могли передать нам образ.

 

вот отчёт, так же нашёл длл файл созданный при заражении. так же на каждом диске есть большой файл темп под сотню гигабайт.

SERVERKEEPER_2024-01-21_19-06-50_v4.15.1.7z mcv321.zip

Изменено 21 января пользователем Slider07
редактирование

[safety]

Хорошо, по файлам:

ваши файлы?

C:\WINDOWS\SYSTEM32\SHOST.BAT

(АТРИБУТ ФАЙЛА ~ "СКРЫТЫЙ" ИЛИ "СИСТЕМНЫЙ")(1)   AND   (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1) [auto (0)]

c:\Windows\System32\sqldeveloper start default --config c:\windows\svchost.dll

 

C:\WINDOWS\SVCHOST.DLL

(АТРИБУТ ФАЙЛА ~ "СКРЫТЫЙ" ИЛИ "СИСТЕМНЫЙ")(1)   AND   (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1) [auto (0)]

START DEFAULT --CONFIG C:\WINDOWS\SVCHOST.DLL

 

C:\WINDOWS\SYSTEM32\SVHOST.BAT

(АТРИБУТ ФАЙЛА ~ "СКРЫТЫЙ" ИЛИ "СИСТЕМНЫЙ")(1)   AND   (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1) [auto (0)]

c:\Windows\System32\sqldevelopers start default --config c:\windows\svchost.dll

 

C:\WINDOWS\SYSTEM32\SVSHOST.BAT

c:\Windows\System32\svshost start default --config c:\windows\svchost.dll

------

mcv321.dll - скорее всего запчасть к шифровальщику, используется для логирования.

 

тела шифровальщика в автозапуске нет.

 

так и должно быть, что загрузчика нет на C?

Quote

 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888] [Windows 0.0.0 SP0 ]
; SYSTEM.INI и Загрузчики

автозапуск | MMDRV.DLL
автозапуск | TIMER.DRV
загрузчик  | F:\BOOTMGR
загрузчик  | E:\BOOTMGR
загрузчик  | F:\BOOTMGR.EFI

 

 

 

 

Изменено 21 января пользователем safety

[Slider07]

3 часа назад, safety сказал:

Хорошо, по файлам:

ваши файлы?

C:\WINDOWS\SYSTEM32\SHOST.BAT

(АТРИБУТ ФАЙЛА ~ "СКРЫТЫЙ" ИЛИ "СИСТЕМНЫЙ")(1)   AND   (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1) [auto (0)]

c:\Windows\System32\sqldeveloper start default --config c:\windows\svchost.dll

 

C:\WINDOWS\SVCHOST.DLL

(АТРИБУТ ФАЙЛА ~ "СКРЫТЫЙ" ИЛИ "СИСТЕМНЫЙ")(1)   AND   (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1) [auto (0)]

START DEFAULT --CONFIG C:\WINDOWS\SVCHOST.DLL

 

C:\WINDOWS\SYSTEM32\SVHOST.BAT

(АТРИБУТ ФАЙЛА ~ "СКРЫТЫЙ" ИЛИ "СИСТЕМНЫЙ")(1)   AND   (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1) [auto (0)]

c:\Windows\System32\sqldevelopers start default --config c:\windows\svchost.dll

 

C:\WINDOWS\SYSTEM32\SVSHOST.BAT

c:\Windows\System32\svshost start default --config c:\windows\svchost.dll

------

mcv321.dll - скорее всего запчасть к шифровальщику, используется для логирования.

 

тела шифровальщика в автозапуске нет.

 

так и должно быть, что загрузчика нет на C?

 

 

 

файлы не мои, ничего лишнего не делал в системных папках. 

 

загрузчик поврежден видимо, т.к. после сканирования через лайв сд и чистку система перестала запускаться, пытался восстановить загрузчик, но не получилось.

 

исходя из всего этого, можно ли что либо сделать? есть ли возможность дешифровать?

Изменено 21 января пользователем Slider07

[safety]

Расшифровки по Proxima/BlackShadow на текущий момент нет, к сожалению. восстановление, в вашем случае возможно только из архивных копий. Сохраните так же важные зашифрованные документы на отдельный носитель,  возможно в будущем расшифровка станет возможной.

 

По восстановлению системы.

попробуйте использовать диски восстановления, возможно через диски восстановления получится восстановить загрузку системы.

[safety]

11 hours ago, Slider07 said:

исходя из всего этого, можно ли что либо сделать? есть ли возможность дешифровать?

Надо проверить файл svchost.dll, возможно использовался для взлома системы.

 

Скрипт сохраните из вложения в папку tools на загрузочном диске

Выполните в uVS (из под winpe) скрипт из файла

ЗАпускаем start,exe от имени Администратора (если не запущен)

В этом окне необходимо будет выбрать и указать каталог Windows с зашифрованного устройства.

текущий пользователь,

В главном меню выбираем "Скрипт - выполнить скрипт из файла"

В диалоге выберите файла скрипта из tools.

Скрипт автоматически очистит систему и и завершит работу uVS

Сохраните архив ZOO_дата_время.7z в папку tools и предоставьте данный архив нам

 

 

scr01.txt