Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Попал шифровальщик Jack

Slider07
 Поделиться

Рекомендуемые сообщения

Slider07 Новичок

Slider07

Опубликовано
Опубликовано

Здравствуйте, словил шифровальщика, видимо по RDP, так как были левые учётки, зашифровали все файлы с расширением .jack

прикладываю файлы, и кажется сам вирус. Возможно ли восстановить что нибудь?

virus pass.zip Jack_Help.txt files.zip

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Уточните пароль к архиву files.zip

подготовьте, пожалуйста, логи по правилам:

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

Ссылка на комментарий
Поделиться на другие сайты
Slider07 Новичок

Slider07

Опубликовано
  • Автор
Опубликовано

пароль files

 

анализ чуть позже дошлю

 

 

1 час назад, Slider07 сказал:

пароль files

 

анализ чуть позже дошлю

 

найден ещё один файл (пароль virus), после сканированию с помощью лайв сд, винда упала, отказывается загружаться, попробую восстановить

virus2.zip

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
12 hours ago, Slider07 said:

найден ещё один файл (пароль virus)

это запчасть к шифровальщику - вайпер, но не сам шифровальщик. Первый файл, так же не является шифровальщиком. Ждем логи FRST.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Slider07 Новичок

Slider07

Опубликовано
  • Автор
Опубликовано
10 часов назад, safety сказал:

это запчасть к шифровальщику - вайпер, но не сам шифровальщик. Первый файл, так же не является шифровальщиком. Ждем логи FRST.

не получается никак запустить систему, можно ли как то создать лог через live cd?

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Сделайте тогда образ автозапуска из под Winpe, возможно он поможет вам с восстановлением  системы.

Скачать образ отсюда:

записать на загрузочную  флэшку,

загрузить систему с флэшки,

автоматически будет запущено стартовое окно (uvs) start.exe

В этом окне необходимо будет выбрать и указать каталог Windows с зашифрованного устройства.

далее, текущий пользователь.

После загрузки основного окна выбираем Файл - создать полный образ автозапуска.

Фвйл образа надо будет сохранить в каталог tools на диске X, чтобы после завершения работы вы могли передать нам образ.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Slider07 Новичок

Slider07

Опубликовано
  • Автор
Опубликовано (изменено)
23 минуты назад, safety сказал:

Сделайте тогда образ автозапуска из под Winpe, возможно он поможет вам с восстановлением  системы.

Скачать образ отсюда:

записать на загрузочную  флэшку,

загрузить систему с флэшки,

автоматически будет запущено стартовое окно (uvs) start.exe

В этом окне необходимо будет выбрать и указать каталог Windows с зашифрованного устройства.

далее, текущий пользователь.

После загрузки основного окна выбираем Файл - создать полный образ автозапуска.

Фвйл образа надо будет сохранить в каталог tools на диске X, чтобы после завершения работы вы могли передать нам образ.

 

вот отчёт, так же нашёл длл файл созданный при заражении. так же на каждом диске есть большой файл темп под сотню гигабайт.

SERVERKEEPER_2024-01-21_19-06-50_v4.15.1.7z mcv321.zip

Изменено пользователем Slider07
редактирование
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Хорошо, по файлам:

ваши файлы?

C:\WINDOWS\SYSTEM32\SHOST.BAT

(АТРИБУТ ФАЙЛА ~ "СКРЫТЫЙ" ИЛИ "СИСТЕМНЫЙ")(1)   AND   (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1) [auto (0)]

c:\Windows\System32\sqldeveloper start default --config c:\windows\svchost.dll

 

C:\WINDOWS\SVCHOST.DLL

(АТРИБУТ ФАЙЛА ~ "СКРЫТЫЙ" ИЛИ "СИСТЕМНЫЙ")(1)   AND   (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1) [auto (0)]

START DEFAULT --CONFIG C:\WINDOWS\SVCHOST.DLL

 

C:\WINDOWS\SYSTEM32\SVHOST.BAT

(АТРИБУТ ФАЙЛА ~ "СКРЫТЫЙ" ИЛИ "СИСТЕМНЫЙ")(1)   AND   (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1) [auto (0)]

c:\Windows\System32\sqldevelopers start default --config c:\windows\svchost.dll

 

C:\WINDOWS\SYSTEM32\SVSHOST.BAT

c:\Windows\System32\svshost start default --config c:\windows\svchost.dll

------

mcv321.dll - скорее всего запчасть к шифровальщику, используется для логирования.

 

тела шифровальщика в автозапуске нет.

 

так и должно быть, что загрузчика нет на C?

Quote

 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888] [Windows 0.0.0 SP0 ]
; SYSTEM.INI и Загрузчики

автозапуск | MMDRV.DLL
автозапуск | TIMER.DRV
загрузчик  | F:\BOOTMGR
загрузчик  | E:\BOOTMGR
загрузчик  | F:\BOOTMGR.EFI

 

 

 

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Slider07 Новичок

Slider07

Опубликовано
  • Автор
Опубликовано (изменено)
3 часа назад, safety сказал:

Хорошо, по файлам:

ваши файлы?

C:\WINDOWS\SYSTEM32\SHOST.BAT

(АТРИБУТ ФАЙЛА ~ "СКРЫТЫЙ" ИЛИ "СИСТЕМНЫЙ")(1)   AND   (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1) [auto (0)]

c:\Windows\System32\sqldeveloper start default --config c:\windows\svchost.dll

 

C:\WINDOWS\SVCHOST.DLL

(АТРИБУТ ФАЙЛА ~ "СКРЫТЫЙ" ИЛИ "СИСТЕМНЫЙ")(1)   AND   (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1) [auto (0)]

START DEFAULT --CONFIG C:\WINDOWS\SVCHOST.DLL

 

C:\WINDOWS\SYSTEM32\SVHOST.BAT

(АТРИБУТ ФАЙЛА ~ "СКРЫТЫЙ" ИЛИ "СИСТЕМНЫЙ")(1)   AND   (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1) [auto (0)]

c:\Windows\System32\sqldevelopers start default --config c:\windows\svchost.dll

 

C:\WINDOWS\SYSTEM32\SVSHOST.BAT

c:\Windows\System32\svshost start default --config c:\windows\svchost.dll

------

mcv321.dll - скорее всего запчасть к шифровальщику, используется для логирования.

 

тела шифровальщика в автозапуске нет.

 

так и должно быть, что загрузчика нет на C?

 

 

 

файлы не мои, ничего лишнего не делал в системных папках. 

 

загрузчик поврежден видимо, т.к. после сканирования через лайв сд и чистку система перестала запускаться, пытался восстановить загрузчик, но не получилось.

 

исходя из всего этого, можно ли что либо сделать? есть ли возможность дешифровать?

Изменено пользователем Slider07
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Расшифровки по Proxima/BlackShadow на текущий момент нет, к сожалению. восстановление, в вашем случае возможно только из архивных копий. Сохраните так же важные зашифрованные документы на отдельный носитель,  возможно в будущем расшифровка станет возможной.

 

По восстановлению системы.

попробуйте использовать диски восстановления, возможно через диски восстановления получится восстановить загрузку системы.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
11 hours ago, Slider07 said:

исходя из всего этого, можно ли что либо сделать? есть ли возможность дешифровать?

Надо проверить файл svchost.dll, возможно использовался для взлома системы.

 

Скрипт сохраните из вложения в папку tools на загрузочном диске

Выполните в uVS (из под winpe) скрипт из файла

ЗАпускаем start,exe от имени Администратора (если не запущен)

В этом окне необходимо будет выбрать и указать каталог Windows с зашифрованного устройства.

текущий пользователь,

В главном меню выбираем "Скрипт - выполнить скрипт из файла"

В диалоге выберите файла скрипта из tools.

Скрипт автоматически очистит систему и и завершит работу uVS

Сохраните архив ZOO_дата_время.7z в папку tools и предоставьте данный архив нам

 

 

scr01.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Albina
      На сервер попал шифровальщик ((
      Автор Albina
      Добрый день. Словили шифровальщик. Помогите восстановить файлы. Бэкапов не делали((
      Анализ системы при помощи Farbar сделали. Архив с файлами прилагаем.
      С надеждой, Альбина
      Shortcut_23-04-2025 17.30.07.txt Logs.zip
    • NotDev
      [РЕШЕНО] Trojan.Win32.Shellcode.btx попался на майнер
      Автор NotDev
      Доброго времени суток. Помогите пожалуйста. Собственно, скачал с яндекса Notepad++, сайт индексировался выше, чем оригинальный сайт, не заметил этого. Просканировал с помощью ESET и KVRT. Вылечил файлы, отправил с помощью AVZ по данной форме файл Форма отправки карантина, а потом наткнулся на данную тему.
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen Помогите удалить, пожалуйста - Помощь в удалении вирусов - Kaspersky Club | Клуб «Лаборатории Касперского»

      файлы точно такие же, директории тоже и происходит точно такая же ситуация.
      Сам "установочный файл" отправил на any.run, результат можете посмотреть тут
      https://app.any.run/tasks/6cc9f3a2-26a3-4175-a5e9-157595baa225

      1) AutoLogger - логи с него.
      2) Farbar Recovery Scan Tool - так же лог с него.

      Шаг с AVZ был пропущен, так как я уже выполнил скрипт и отправил на форму.
      CollectionLog-2025.07.06-21.02.zip FRST.zip
    • Павел Бурдейный
      Помощи с шифровальщиком
      Автор Павел Бурдейный
      Сегодня схватили шифровальщика. Имя файла изменилось на Лист Microsoft Office Excel.xlsx.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK . Прошу помочь в решении проблемы
      Лист Microsoft Office Excel.xlsx
    • 08Sergey
      Шифровальщик .eking
      Автор 08Sergey
      Всем привет! Помогите пожалуйста, зашифровало файловый сервер, много текстовых документов, стандартные средства не помогли, есть оригинал файла и зашифрованный (в архиве), система переустановлена, письмо с требованиями не найдено...
      eking.zip
    • Александр_vgau
      шифровальщик banta
      Автор Александр_vgau
      Шифровальщик изменил файлы данных внутри сети на всех серверах и рабочих станциях с ОС Windows где был доступ по протоколу rdp или общие папки, часть бэкапов удалил.
      Антивирус не реагирует (все обновления установлены), наблюдали шифрование в режиме реального времени Антивирус спокойно наблюдал за шифрованием.
      Требования и файлы.rar Вирус.zip FRST.txt Addition.txt
×
×
  • Создать...