Перейти к содержанию

Шифровальщик, меняющий расширение файлов на 54a8afd423597a


Рекомендуемые сообщения

Добрый день. Столкнулся с шифровальщиком, который зашифровал множество важных файлов и изменил их расширение на 54a8afd423597a. Операционная система была Windows server 2019.  Farbar Recovery Scan Tool применить нет возможности, так как заражённая машина является контролером домена, залогиниться невозможно. 2 зашифрованных файла и файл с требованиями злоумышленников прилагаю. Буду благодарен за любую помощь. Заранее спасибо.

Файлы.rar

Ссылка на сообщение
Поделиться на другие сайты

Возможно это HsHarada но это неточное определение. Желательно попытаться получить доступ к устройству и найти сэмпл шифровальшика. Это второй случай за последние два дня здесь, пока информации недостаточно для определения типа.

Ссылка на сообщение
Поделиться на другие сайты
  • Пока что файл шифровальщика не был обнаружен. Дело в том, что я не могу залогиниться на пораженной машине. Она была контролером домена. Каким образом вирус попал на эту машину так же неизвестно. Спасибо за советы, попробую присоединить диск от этого компа к другому и поискать нужный файл. 
Ссылка на сообщение
Поделиться на другие сайты

Проверьте подозрительную активность в локальной сети, возможно было проникновение на одном из устройств. Как правило, злоумышленники пытаются получить доступ к DC чтобы нанести максимальный ущерб.

11 minutes ago, Алексей_DML said:

Спасибо за советы, попробую присоединить диск от этого компа к другому и поискать нужный файл. 

если подключите системный диск с DC чистому устройству, можно сделать образ автозапуска в uvS с выбором каталога Win на присоединенном диске.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы (выбираем каталог Windows на присоединенном диске) - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Этот файл имеет подпись Майкрософт. Он есть на нескольких наших компах, как зараженных, так и нет. Дата его появления разная и всегда сильно в прошлом. Не думаю, что это вирус. Антивирус не обнаруживает его

Ссылка на сообщение
Поделиться на другие сайты

Возможно, что чист.  Других подозрительных файлов не обнаружил судя по образу. Но шифровальщик мог быть запущен вручную, без включения в автозапуск. Тут бы FRST помог отследить вновь созданные файлы на диске.

-------

 

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Эта программа сканит только в рамках той системы, где запущена, а мы диск от пораженного компа к другому присоединили. Поэтому она ничего не находит, фалы то создавались под другой исстемой. Может есть ещё варианты?

Ссылка на сообщение
Поделиться на другие сайты

Да, FRST не умеет работать с неактивной системой.

 

А подключиться к DC вы не можете по причине шифрования файлов или модификации паролей?

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Думаю да, ведь наши логины и пароли не подходят, просто не получается залогиниться. Может файлы AD зашифрованы. Я сейчас уточню этот момент

Изменено пользователем Алексей_DML
Ссылка на сообщение
Поделиться на другие сайты

Как вариант, можно попробовать на присоединенной системе по какому-нибудь акку сбросить пароль, есть такая функция в uVs, если он покажет список учетных записей.

 

Похоже, что это новая версия HsHarada, есть уже и на других форумах примеры с подобным шифрованием.

 

Есть уже пример файла

https://www.virustotal.com/gui/file/16551ad26d93352ff6e50ddcb7e3d3bb744a3cf0091ba278d06851e273fa7258

Locker.exe

 

Ссылка на сообщение
Поделиться на другие сайты

Посмотрел по ссылке ключи и программу дешифратор. Всё запустил, но расшифровать к сожалению не получилось. Может уже ключ поменялся

Ссылка на сообщение
Поделиться на другие сайты
6 hours ago, Алексей_DML said:

Всё запустил, но расшифровать к сожалению не получилось

Я и не писал вам, что теми файлами по ссылке вы сможете расшифровать ваши файлы.Написал лишь с целью, что тип шифрования определен - новая версия HsHarada. Дешифратор там указан для определенного случая и ключа. Т.е. он может работать. только при наличие приватного ключа (которого нет в вашем случае).

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • IvanSakh
      От IvanSakh
      Добрый день, поймали шифр овальщик расширение стало 58f9e96cf239c4, зашифрованные файлы, лог сканирования системы и фаил с требованием во вложении.
      E.zip
    • amigolds
      От amigolds
      Всем добрый вечер.
      Поймали под конец недели шифровальщика на серверах - f133cdb8782e22
      Lockhelp1998@skiff.com
      retryit1998@tutamail.com
       
      Documents.rar FRST.txt
    • Сергей81
      От Сергей81
      Прикладываю пару файлов
      Запрос на закупку.rar
    • Alex-24
      От Alex-24
      Доброго дня!
      Произошла следующая ситуация: в ночь все файлы зашифровались. Расширение: .y8433F
      Дешифратор Ransomwared decryptor к сожалению не помогает. Файлы очень ценны и конфиденциальны.
      Письмо, которое было оставлено на рабочем столе:
       
      All your important files are processed!
      YOUR ID is 2QRV01YLfAebgrNvBF8ufpzWXbbvQOUrxmgxxx5blStpUecdUf
      Any attempt to restore files using third-party software will be fatal to your files!
      The ONLY POSIBLE WAY TO GET BACK YOUR DATA is buy private key from us.
      Follow the instructions below to get your files back:
      | 1. Send an email with YOUR ID to our mailbox:
          >    r.heisler@skiff.com
          >     r.heisler@keemail.me
      | 2. Complete the payment in the method specified by us (usually Monero)
      | 3. Send payment records to us and then download tool that can recover files in a short time
       ###  Attention! ###
       # Do not rename encrypted files.
       # Do not try to recover using third party software, it may cause permanent data loss.
       # Obtaining your files with the help of a third party may result in a higher price (they charge us a fee)
       
       
      Подскажите пожалуйста: есть ли возможность (без выкупа) восстановить файлы. 
×
×
  • Создать...