Перейти к содержанию

Шифровальщик, меняющий расширение файлов на 54a8afd423597a


Рекомендуемые сообщения

Добрый день. Столкнулся с шифровальщиком, который зашифровал множество важных файлов и изменил их расширение на 54a8afd423597a. Операционная система была Windows server 2019.  Farbar Recovery Scan Tool применить нет возможности, так как заражённая машина является контролером домена, залогиниться невозможно. 2 зашифрованных файла и файл с требованиями злоумышленников прилагаю. Буду благодарен за любую помощь. Заранее спасибо.

Файлы.rar

Ссылка на сообщение
Поделиться на другие сайты

Возможно это HsHarada но это неточное определение. Желательно попытаться получить доступ к устройству и найти сэмпл шифровальшика. Это второй случай за последние два дня здесь, пока информации недостаточно для определения типа.

Ссылка на сообщение
Поделиться на другие сайты
  • Пока что файл шифровальщика не был обнаружен. Дело в том, что я не могу залогиниться на пораженной машине. Она была контролером домена. Каким образом вирус попал на эту машину так же неизвестно. Спасибо за советы, попробую присоединить диск от этого компа к другому и поискать нужный файл. 
Ссылка на сообщение
Поделиться на другие сайты

Проверьте подозрительную активность в локальной сети, возможно было проникновение на одном из устройств. Как правило, злоумышленники пытаются получить доступ к DC чтобы нанести максимальный ущерб.

11 minutes ago, Алексей_DML said:

Спасибо за советы, попробую присоединить диск от этого компа к другому и поискать нужный файл. 

если подключите системный диск с DC чистому устройству, можно сделать образ автозапуска в uvS с выбором каталога Win на присоединенном диске.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы (выбираем каталог Windows на присоединенном диске) - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Этот файл имеет подпись Майкрософт. Он есть на нескольких наших компах, как зараженных, так и нет. Дата его появления разная и всегда сильно в прошлом. Не думаю, что это вирус. Антивирус не обнаруживает его

Ссылка на сообщение
Поделиться на другие сайты

Возможно, что чист.  Других подозрительных файлов не обнаружил судя по образу. Но шифровальщик мог быть запущен вручную, без включения в автозапуск. Тут бы FRST помог отследить вновь созданные файлы на диске.

-------

 

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Эта программа сканит только в рамках той системы, где запущена, а мы диск от пораженного компа к другому присоединили. Поэтому она ничего не находит, фалы то создавались под другой исстемой. Может есть ещё варианты?

Ссылка на сообщение
Поделиться на другие сайты

Да, FRST не умеет работать с неактивной системой.

 

А подключиться к DC вы не можете по причине шифрования файлов или модификации паролей?

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Думаю да, ведь наши логины и пароли не подходят, просто не получается залогиниться. Может файлы AD зашифрованы. Я сейчас уточню этот момент

Изменено пользователем Алексей_DML
Ссылка на сообщение
Поделиться на другие сайты

Как вариант, можно попробовать на присоединенной системе по какому-нибудь акку сбросить пароль, есть такая функция в uVs, если он покажет список учетных записей.

 

Похоже, что это новая версия HsHarada, есть уже и на других форумах примеры с подобным шифрованием.

 

Есть уже пример файла

https://www.virustotal.com/gui/file/16551ad26d93352ff6e50ddcb7e3d3bb744a3cf0091ba278d06851e273fa7258

Locker.exe

 

Ссылка на сообщение
Поделиться на другие сайты

Посмотрел по ссылке ключи и программу дешифратор. Всё запустил, но расшифровать к сожалению не получилось. Может уже ключ поменялся

Ссылка на сообщение
Поделиться на другие сайты
6 hours ago, Алексей_DML said:

Всё запустил, но расшифровать к сожалению не получилось

Я и не писал вам, что теми файлами по ссылке вы сможете расшифровать ваши файлы.Написал лишь с целью, что тип шифрования определен - новая версия HsHarada. Дешифратор там указан для определенного случая и ключа. Т.е. он может работать. только при наличие приватного ключа (которого нет в вашем случае).

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Сергей Комаров
      От Сергей Комаров
      Добрый день! Сегодня в 3 ночи были зашифрованы все виртуальные машины (hyper-v) и файлы бэкапов на серверах компании.
      Пример зашифрованных файлов и readme прилагаю.
       
      Прошу помощи в определении типа шифровальщика и расшифровке.
      db2a95f2436fe2bc3ce6f2-README.txt Files.zip
    • Zafod
      От Zafod
      Произошло шифрование файлом Locker.exe из под учётной записи администратора домена admin$ (создан вирусом). Время когда учётка админа (admin$) была создана удалено из логов (из логов пропали сутки). На сервере установлен Kaspersky Endpoint Security под управлением KSC, вирус был обнаружен, скопирован в карантин, удалён, но данные всё равно зашифрованы. Машина с KSC так же зашифрована и не стартует.
      1.zip
    • Razor103
      От Razor103
      Добрый день.
      Помогите пожалуйста, сегодня в компанию просочился вирус-шифровальщик, который зашифровал все файловое хранилище. Очень важный сервер рухнул и соответственно все файлы на файловом хранилище. Кто может помочь расшифровать и что для этого нужно напишите пожалуйста.
      Пример зашифрованного файла и письмо вымогателя прикрепил.пример и письмо.rar
    • IvanSakh
      От IvanSakh
      Добрый день, поймали шифр овальщик расширение стало 58f9e96cf239c4, зашифрованные файлы, лог сканирования системы и фаил с требованием во вложении.
      E.zip
    • amigolds
      От amigolds
      Всем добрый вечер.
      Поймали под конец недели шифровальщика на серверах - f133cdb8782e22
      Lockhelp1998@skiff.com
      retryit1998@tutamail.com
       
      Documents.rar FRST.txt
×
×
  • Создать...