Перейти к содержанию

Попал шифровальщик Jack

Slider07
 Поделиться

Рекомендуемые сообщения

Slider07

Slider07

Опубликовано
Опубликовано

Здравствуйте, словил шифровальщика, видимо по RDP, так как были левые учётки, зашифровали все файлы с расширением .jack

прикладываю файлы, и кажется сам вирус. Возможно ли восстановить что нибудь?

virus pass.zip Jack_Help.txt files.zip

safety

safety

Опубликовано
Опубликовано

Уточните пароль к архиву files.zip

подготовьте, пожалуйста, логи по правилам:

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

Slider07

Slider07

Опубликовано
  • Автор
Опубликовано

пароль files

 

анализ чуть позже дошлю

 

 

1 час назад, Slider07 сказал:

пароль files

 

анализ чуть позже дошлю

 

найден ещё один файл (пароль virus), после сканированию с помощью лайв сд, винда упала, отказывается загружаться, попробую восстановить

virus2.zip

safety

safety

Опубликовано
Опубликовано (изменено)
12 hours ago, Slider07 said:

найден ещё один файл (пароль virus)

это запчасть к шифровальщику - вайпер, но не сам шифровальщик. Первый файл, так же не является шифровальщиком. Ждем логи FRST.

Изменено пользователем safety
Slider07

Slider07

Опубликовано
  • Автор
Опубликовано
10 часов назад, safety сказал:

это запчасть к шифровальщику - вайпер, но не сам шифровальщик. Первый файл, так же не является шифровальщиком. Ждем логи FRST.

не получается никак запустить систему, можно ли как то создать лог через live cd?

safety

safety

Опубликовано
Опубликовано (изменено)

Сделайте тогда образ автозапуска из под Winpe, возможно он поможет вам с восстановлением  системы.

Скачать образ отсюда:

записать на загрузочную  флэшку,

загрузить систему с флэшки,

автоматически будет запущено стартовое окно (uvs) start.exe

В этом окне необходимо будет выбрать и указать каталог Windows с зашифрованного устройства.

далее, текущий пользователь.

После загрузки основного окна выбираем Файл - создать полный образ автозапуска.

Фвйл образа надо будет сохранить в каталог tools на диске X, чтобы после завершения работы вы могли передать нам образ.

 

Изменено пользователем safety
Slider07

Slider07

Опубликовано
  • Автор
Опубликовано (изменено)
23 минуты назад, safety сказал:

Сделайте тогда образ автозапуска из под Winpe, возможно он поможет вам с восстановлением  системы.

Скачать образ отсюда:

записать на загрузочную  флэшку,

загрузить систему с флэшки,

автоматически будет запущено стартовое окно (uvs) start.exe

В этом окне необходимо будет выбрать и указать каталог Windows с зашифрованного устройства.

далее, текущий пользователь.

После загрузки основного окна выбираем Файл - создать полный образ автозапуска.

Фвйл образа надо будет сохранить в каталог tools на диске X, чтобы после завершения работы вы могли передать нам образ.

 

вот отчёт, так же нашёл длл файл созданный при заражении. так же на каждом диске есть большой файл темп под сотню гигабайт.

SERVERKEEPER_2024-01-21_19-06-50_v4.15.1.7z mcv321.zip

Изменено пользователем Slider07
редактирование
safety

safety

Опубликовано
Опубликовано (изменено)

Хорошо, по файлам:

ваши файлы?

C:\WINDOWS\SYSTEM32\SHOST.BAT

(АТРИБУТ ФАЙЛА ~ "СКРЫТЫЙ" ИЛИ "СИСТЕМНЫЙ")(1)   AND   (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1) [auto (0)]

c:\Windows\System32\sqldeveloper start default --config c:\windows\svchost.dll

 

C:\WINDOWS\SVCHOST.DLL

(АТРИБУТ ФАЙЛА ~ "СКРЫТЫЙ" ИЛИ "СИСТЕМНЫЙ")(1)   AND   (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1) [auto (0)]

START DEFAULT --CONFIG C:\WINDOWS\SVCHOST.DLL

 

C:\WINDOWS\SYSTEM32\SVHOST.BAT

(АТРИБУТ ФАЙЛА ~ "СКРЫТЫЙ" ИЛИ "СИСТЕМНЫЙ")(1)   AND   (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1) [auto (0)]

c:\Windows\System32\sqldevelopers start default --config c:\windows\svchost.dll

 

C:\WINDOWS\SYSTEM32\SVSHOST.BAT

c:\Windows\System32\svshost start default --config c:\windows\svchost.dll

------

mcv321.dll - скорее всего запчасть к шифровальщику, используется для логирования.

 

тела шифровальщика в автозапуске нет.

 

так и должно быть, что загрузчика нет на C?

Quote

 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888] [Windows 0.0.0 SP0 ]
; SYSTEM.INI и Загрузчики

автозапуск | MMDRV.DLL
автозапуск | TIMER.DRV
загрузчик  | F:\BOOTMGR
загрузчик  | E:\BOOTMGR
загрузчик  | F:\BOOTMGR.EFI

 

 

 

 

Изменено пользователем safety
Slider07

Slider07

Опубликовано
  • Автор
Опубликовано (изменено)
3 часа назад, safety сказал:

Хорошо, по файлам:

ваши файлы?

C:\WINDOWS\SYSTEM32\SHOST.BAT

(АТРИБУТ ФАЙЛА ~ "СКРЫТЫЙ" ИЛИ "СИСТЕМНЫЙ")(1)   AND   (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1) [auto (0)]

c:\Windows\System32\sqldeveloper start default --config c:\windows\svchost.dll

 

C:\WINDOWS\SVCHOST.DLL

(АТРИБУТ ФАЙЛА ~ "СКРЫТЫЙ" ИЛИ "СИСТЕМНЫЙ")(1)   AND   (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1) [auto (0)]

START DEFAULT --CONFIG C:\WINDOWS\SVCHOST.DLL

 

C:\WINDOWS\SYSTEM32\SVHOST.BAT

(АТРИБУТ ФАЙЛА ~ "СКРЫТЫЙ" ИЛИ "СИСТЕМНЫЙ")(1)   AND   (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1) [auto (0)]

c:\Windows\System32\sqldevelopers start default --config c:\windows\svchost.dll

 

C:\WINDOWS\SYSTEM32\SVSHOST.BAT

c:\Windows\System32\svshost start default --config c:\windows\svchost.dll

------

mcv321.dll - скорее всего запчасть к шифровальщику, используется для логирования.

 

тела шифровальщика в автозапуске нет.

 

так и должно быть, что загрузчика нет на C?

 

 

 

файлы не мои, ничего лишнего не делал в системных папках. 

 

загрузчик поврежден видимо, т.к. после сканирования через лайв сд и чистку система перестала запускаться, пытался восстановить загрузчик, но не получилось.

 

исходя из всего этого, можно ли что либо сделать? есть ли возможность дешифровать?

Изменено пользователем Slider07
safety

safety

Опубликовано
Опубликовано

Расшифровки по Proxima/BlackShadow на текущий момент нет, к сожалению. восстановление, в вашем случае возможно только из архивных копий. Сохраните так же важные зашифрованные документы на отдельный носитель,  возможно в будущем расшифровка станет возможной.

 

По восстановлению системы.

попробуйте использовать диски восстановления, возможно через диски восстановления получится восстановить загрузку системы.

safety

safety

Опубликовано
Опубликовано
11 hours ago, Slider07 said:

исходя из всего этого, можно ли что либо сделать? есть ли возможность дешифровать?

Надо проверить файл svchost.dll, возможно использовался для взлома системы.

 

Скрипт сохраните из вложения в папку tools на загрузочном диске

Выполните в uVS (из под winpe) скрипт из файла

ЗАпускаем start,exe от имени Администратора (если не запущен)

В этом окне необходимо будет выбрать и указать каталог Windows с зашифрованного устройства.

текущий пользователь,

В главном меню выбираем "Скрипт - выполнить скрипт из файла"

В диалоге выберите файла скрипта из tools.

Скрипт автоматически очистит систему и и завершит работу uVS

Сохраните архив ZOO_дата_время.7z в папку tools и предоставьте данный архив нам

 

 

scr01.txt

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Прохор
      Зашифровали корпоративный сервер
      Автор Прохор
      Добрый день, зашифровали корпоративные сервера с требованием выкупа. Что делать не знаем, прилагаю образец шифра и письмо мошенников.
      файлы.rar
    • mutosha
      нужна помощь в дешефровани blackFL (есть exe и строчка с паролем из power shell)
      Автор mutosha
      Добрый день.
       
      Поймали шифровальщика "blackFL", успел скопировать строчку с паролем из открытого power shell, н арабочем столе.
      "C:\Users\Администратор\Pictures>1.exe -path E:\ -pass b9ec0c541dbfd54c9af6ca6cccedaea9"
       
       
      Сам "1.exe" из ""C:\Users\Администратор\Pictures"  скопировать не успел, но нашел какой-то "1.exe" на рабочем столе, приложил.
      Прикладываю логи Farbar Recovery Scan Tool.
       
      Прикладываю ссылку на шифрованный  файл (7.5 мегабайта, а прикрепить можно только менее 5), когда-то это был mp4 ролик, ничего меньше по размеру не нашлось.
      https://transfiles.ru/j5o79
       
      Файлов с требованием у меня встречаются почему-то три с разными названиями, содержимое вроде одно.
       
      Очень надеюсь на помощь.
       
       
      1.7z Addition_01-12-2025 00.35.40.txt FRST_01-12-2025 00.31.27.txt README_BlackFL.txt lK0kDJCSf.README.txt READ_ME.txt
    • Сергей__
      BlackFL
      Автор Сергей__
      Зашифровались файлы BlackFL
      есть дешифратор?
      TNI.zip
    • Alex F
      Шифровальщик BlackFL
      Автор Alex F
      Добрый день.
       
      Прошу помощи в расшифровке файлов зашифрованных вирусом вымогателем.
       
      Архив во вложении. 
      Archive.7z
    • MBA
      Вирус шифровальщик. Файлы с расширением hype
      Автор MBA
      Добрый день. Заразились компы. Помогите с расшифровкой. Файлы зашифрованы и добавилось расширение с текстом ".EMAIL=[ranshype@gmail.com]ID=[35390D080FB82A02].hype". Архив с результатами сканирования, сообщением о выкупе и примерами зашифрованных файлов прилагаю;
      Архив.zip
×
×
  • Создать...