Перейти к содержанию

Шифровальщик Trojan-Ransom.Win32.Mimic.gen Zero_day

Ruslan01
 Share Подписчики 1

Рекомендуемые сообщения

Ruslan01

Ruslan01 0

Опубликовано
Опубликовано

Добрый день, в понедельник 29 января все файлы оказались зашифрованы. В архиве файлы и текст выкупа. Мошенники скидывали дешифратор, но он не сработал, остался файл, если понадобится (касперский определил его как HEUR:Trojan.MSIL.Agent.gen). Файл шифровальщика "zero_day.exe" тоже остался (касперском определил как HEUR:Trojan-Ransom.Win32.Mimic.gen)

FRST.txt Addition.txt Files_zero_day.zip

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 107

Опубликовано
Опубликовано

Для начала пролечите систему с помощью AVBR

1.Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новые логи FRST

 

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 107

Опубликовано
Опубликовано

Эти файлы добавьте в отдельный архив с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС

2024-01-31 10:15 - 2024-01-31 10:15 - 001476201 _____ C:\Users\Администратор\Desktop\Zero_day.zip

2024-01-30 13:43 - 2024-01-30 13:43 - 001945880 _____ C:\Users\Администратор\Desktop\decr_payload.exe

2024-01-30 11:07 - 2024-01-31 08:17 - 000003030 _____ C:\rdpwrap.txt

2024-01-30 07:28 - 2024-01-30 07:28 - 001945880 _____ C:\Users\Diana\Desktop\decr_payload.exe

 

 

Ссылка на сообщение
Поделиться на другие сайты
Ruslan01

Ruslan01 0

Опубликовано
  • Автор
Опубликовано (изменено)
5 часов назад, safety сказал:

Эти файлы добавьте в отдельный архив с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС

2024-01-31 10:15 - 2024-01-31 10:15 - 001476201 _____ C:\Users\Администратор\Desktop\Zero_day.zip

2024-01-30 13:43 - 2024-01-30 13:43 - 001945880 _____ C:\Users\Администратор\Desktop\decr_payload.exe

2024-01-30 11:07 - 2024-01-31 08:17 - 000003030 _____ C:\rdpwrap.txt

2024-01-30 07:28 - 2024-01-30 07:28 - 001945880 _____ C:\Users\Diana\Desktop\decr_payload.exe

 

 

Ок.

Хочу добавить, что пользователь John был создан в результате действий вируса с правами администратора

 

Отправил ссылку. Файл пользователя Diana в отдельном архиве, подписан.

Изменено пользователем Ruslan01
Уточнение
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 107

Опубликовано
Опубликовано

decr_payload.exe  похож на дешифратор, но скорее всего к нему нужен ключ для расшифровки файлов.

39 minutes ago, Ruslan01 said:

Хочу добавить, что пользователь John был создан в результате действий вируса с правами администратора

Добавлю удаление John в скрипт очистки для FRST

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 107

Опубликовано
Опубликовано

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

  

Start::
CloseProcesses:
SystemRestore: On
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
C:\ProgramData\Microsoft\DRM\K1REul8Dt5nBVk\CheckGlobalV.bat  (Нет файла) <==== ВНИМАНИЕ
2024-01-31 10:15 - 2024-01-31 10:15 - 001476201 _____ C:\Users\Администратор\Desktop\Zero_day.zip
2024-01-31 10:00 - 2024-01-31 10:00 - 000467087 _____ C:\Users\Администратор\Desktop\Files_zero_day.zip
2024-01-31 09:59 - 2024-01-29 04:18 - 000000324 _____ C:\Users\Администратор\Desktop\Zero_day_DECRYPTION.txt
2024-01-31 09:44 - 2024-01-31 09:44 - 000163209 _____ C:\Users\Diana\Desktop\Files_Zero_days.zip
2024-01-30 11:07 - 2024-01-31 08:17 - 000003030 _____ C:\rdpwrap.txt
2024-01-30 07:28 - 2024-01-30 07:28 - 001945880 _____ C:\Users\Diana\Desktop\decr_payload.exe
2024-01-28 13:06 - 2024-01-31 11:35 - 000000000 ____D C:\Users\John
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`20hfm [0]
FirewallRules: [{88C45547-F109-48DE-9EE9-4D10393C6BE9}] => (Allow) C:\Users\Diana\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
FirewallRules: [{928189FC-0675-40C0-9D42-D354F40D8019}] => (Allow) C:\Users\Diana\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
FirewallRules: [{FC849866-F8DA-45BF-A18D-F33232398CDE}] => (Allow) C:\Users\Diana\AppData\Local\Yandex\YandexBrowser\Application\browser.exe => Нет файла
FirewallRules: [TCP Query User{EF4DE04D-A39C-4734-9749-55D4A5141617}C:\users\diana\appdata\roaming\utorrent web\utweb.exe] => (Allow) C:\users\diana\appdata\roaming\utorrent web\utweb.exe => Нет файла
FirewallRules: [UDP Query User{1D6278CE-C604-4667-A738-7FBC11D66F54}C:\users\diana\appdata\roaming\utorrent web\utweb.exe] => (Allow) C:\users\diana\appdata\roaming\utorrent web\utweb.exe => Нет файла
EmptyTemp:
Reboot:
End::

после перезагрузки системы добавьте файл Fixlog.txt из папки, откуда запускали FRST

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 107

Опубликовано
Опубликовано

по расшифровке файлов после данного типа шифровальщика не сможем помочь без приватного ключа. сохраните важные зашифрованные документы на отдельный носитель, возможно в будущем расшифровка станет возможной.

 

Выполните рекомендации из ЛС по защите устройства от будущих атак..

Ссылка на сообщение
Поделиться на другие сайты
Ruslan01

Ruslan01 0

Опубликовано
  • Автор
Опубликовано
1 час назад, safety сказал:

сохраните важные зашифрованные документы на отдельный носитель, возможно в будущем расшифровка станет возможной.

Это будущее примерно когда может наступить? Или в каком случае оно наступит?

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 107

Опубликовано
Опубликовано (изменено)
13 minutes ago, Ruslan01 said:

Это будущее примерно когда может наступить? Или в каком случае оно наступит?

Будущее может не наступить. Очень редко, но бывает, что злоумышленников ловит полиция или их пробивает на совесть, и они делятся приватными ключами. Иногда исследователи обнаруживают уязвимости в ПО шифровальщика и создают дешифратор для всех. Второе более реально, так как российских пользователей сейчас активно атакуют злоумышленники из других стран.  Видимо считают что в России живут и работают относительно благополучные в финансовом отношении люди и компании.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • nikitapatek
      Шифровальщик elpaco-team
      От nikitapatek
      Здравствуйте. 
       
      Поймали вирус - шифровальщик, elpaco team.  Все файлы зашифрованы, на расшифровку как понимаю надежды нет, но хотя бы прошу помочь пожалуйста с очисткой компьютера для возможности дальнейшей работы на нем без переустановки системы и не получить повторное заржение. 
       
      В процессе изучения обнаружилось, что был создан пользователь в системе новый с именем noname и из под него запущен шифровальщик. Видимо через какую-то уязвимость создали пользователя.  Хотя RDP так же с выходом в сеть имелся на данной машине.  Но под основного пользователя вроде бы как не заходили по RDP.
       
      В папке system32 нашел bat файл с именем u1.bat с помощью которого создали как раз таки видимо этого пользователя noname. В нем виден пароль с которым они создали этого пользователя, хоть и не уверен что от этого есть толк. 
      А так же в system32 были найдены непонятные файлы еще, предположительно тоже появившиеся в момент заражения и шифровки.  Ну и в каалоге temp пользователя тоже были некие странные файлы так же видимо в результате заражения.  Расширения .dat, .tmp и .ini. Собрал эти файлы соответственно в архив файлы из system 32 и temp пользователя noname.zip
       
      Сам шифровальщик ELPACO-team.exe с рабочего стола пользователя noname, письмо с требованием, и bat файл close.bat. Который видимо запускают перед шированием что бы убить задачи все антивирусов, программ резервного копирования и т.д. 
      Их приложил в архив шифровальщик.zip , пароль virus.
       
      Ну и несколько образцов зараженных файлов соответствующий архив.
       
       
      Логи по инструкции так же приложил.
       
       
       
      шифроальщик.zip файлы из system 32 и temp пользователя noname.rar Образцы зашифрованных файлов.zip FRST.txt Addition.txt
    • barss2001
      Вирус-шифровальщик зашифровал файлы Файл "7DYEDHQU59C"
      От barss2001
      Сервер после перезагрузки и входе в учетную запись показал сообщение о выкупе программы дешифратора на рабочем столе и дисках появились  зашифрованые файлы 
      virus.rar FRST64.rar
    • Sgen
      Шифровальщик *.ask-*
      От Sgen
      Доброго времени суток. Прошу помощи. Прошелся шифровальщик. Файлы стали с расширением "*.ask-OfatBlotdck3HCPrQmQJ3GWZcuoDs4tYVpcxn4cBjFE"
      Хак.rar
    • gentry
      шифровальщик-вымогатель elpaco-team
      От gentry
      Добрый день. Прошу помощи в дешифровке.
      Логи FRST, файл с требованиями и зашифрованные файлы во вложении.
      elpaco.rar
    • андрей77
      Вирус шифровальщик-вымогатель с расширением *.ELPACO-team
      От андрей77
      добрый день.
      возможно через RDP (подбор паролей) попал вирус шифровальщик и почти все файлы с расширением elpaco-team.
      в архиве несколько зараженных файлов и само письмо о выкупе.
      можете помочь расшифровать файлы?
      02.rar
×
×
  • Создать...