phobos Заражён шифровальщиком Hunter-X@tuta.io

[ant1tr3nd]

Добрый день. Сервер был заражен шифровальщиком. 
Все файлы он переименовал и добавил расширение
~$АНАЛИЗ  2020.xlsx.id[07348D30-3335].[Hunter-X@tuta.io].HUNTER
Вот как выглядит зашифрованный файл. Раньше назывался просто АНАЛИЗ 2020
Прошу помочь(
 

[ant1tr3nd]

Добрый день. Сервер был заражен шифровальщиком. 
Все файлы он клонировал, переименовал и добавил расширение.
Был файл АНАЛИЗ  2020.xlsx
Теперь в той же папке есть файл
АНАЛИЗ  2020.xlsx.id[07348D30-3335].[Hunter-X@tuta.io].HUNTER 
Весит 63КБ 
и
~$АНАЛИЗ  2020.xlsx.id[07348D30-3335].[Hunter-X@tuta.io].HUNTER
Весит 1КБ
Раньше назывался просто АНАЛИЗ 2020
Прошу помочь!

 

Сообщение от модератора kmscom

Темы объединены

 

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

[ant1tr3nd]

Добрый день. Сервер был заражен шифровальщиком. Архив WinRAR.rar
Все файлы он переименовал и добавил расширение. Так же к файлам создались доп файлы.
Был файл АНАЛИЗ  2020.xlsx
Теперь в той же папке есть файл
АНАЛИЗ  2020.xlsx.id[07348D30-3335].[Hunter-X@tuta.io].HUNTER 
Весит 63КБ 
и
~$АНАЛИЗ  2020.xlsx.id[07348D30-3335].[Hunter-X@tuta.io].HUNTER
Весит 1КБ
Раньше назывался просто АНАЛИЗ 2020
Главное спати хотя бы бэкапы системы. Не могу их приложить т.к. весят +- 100 Гб
Прошу помочь!

FRST.txt Addition.txt

 

Строгое предупреждение от модератора thyrex

Перестаньте писать каждое новое сообщение в новой теме.

Темы объединены.

 

[Sandor]

Здравствуйте!

 

Больше тем создавать не нужно, продолжаем здесь.

 

Файл

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe

загрузите на virustotal.com и дайте ссылку на результат анализа.

[Sandor]

+

Семь учётных записей обладают правами администратора, в т.ч. учётка C:\Users\Гость

Срочно уменьшите их количество и смените пароли.

[ant1tr3nd]

1 час назад, Sandor сказал:

Здравствуйте!

 

Больше тем создавать не нужно, продолжаем здесь.

 

Файл

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe

загрузите на virustotal.com и дайте ссылку на результат анализа.

Висит окно Computing Hash и ничего не происходит.

Заражённым компьютером пользуюсь через удалённый рабочий стол. Как только перенёс на свой основной - касперский начал ругаться, что это троян

[ant1tr3nd]

4 часа назад, Sandor сказал:

+

Семь учётных записей обладают правами администратора, в т.ч. учётка C:\Users\Гость

Срочно уменьшите их количество и смените пароли.

не могу ничего сделать. Заблокирована учетная запись администратора. Она постоянно обнуляется, чёрный экран и никуда не могу зайти. Св-ва системы тоже заблокированы. 

 

Получилось. Все доступные отключены

 

Сейчас все проверили и посмотрели. Это было не приложение скачанное, а напрямую был получен доступ путём подбора пароля. Дальше собственно сервер и умер. Учётные записи все отключены. Разные IP адреса так и продолжают ломиться в систему. Но сейчас всё отключено, две учётные записи остались. Основная и администратора. Работает только основная, администратор недоступен.

[safety]

В процессах активный шифровальщик.

() [Доступ не разрешён] C:\Users\Hosts\AppData\Local\Temp\3582-490\Fast.exe <2>

 

Если есть такая возможность выполните скрипт из безопасного режима системы.

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы

 

Start::
() [Доступ не разрешён] C:\Users\Hosts\AppData\Local\Temp\3582-490\Fast.exe <2>
(C:\Users\Hosts\AppData\Local\Temp\3582-490\Fast.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\SysWOW64\mshta.exe <11>
HKLM\...\Run: [Fast] => C:\Users\Hosts\AppData\Local\Fast.exe (Нет файла)
HKU\S-1-5-21-2510479929-1062651375-4183931301-1021\...\Run: [Fast] => C:\Users\Hosts\AppData\Local\Fast.exe (Нет файла)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe [2024-03-24] () [Файл не подписан]
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine в архив с паролем virus, загрузите архив на облачный диск, дайте ссылку на скачивание в ЛС.

[ant1tr3nd]

2 часа назад, safety сказал:

В процессах активный шифровальщик.

() [Доступ не разрешён] C:\Users\Hosts\AppData\Local\Temp\3582-490\Fast.exe <2>

 

Если есть такая возможность выполните скрипт из безопасного режима системы.

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы

 

Start::
() [Доступ не разрешён] C:\Users\Hosts\AppData\Local\Temp\3582-490\Fast.exe <2>
(C:\Users\Hosts\AppData\Local\Temp\3582-490\Fast.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\SysWOW64\mshta.exe <11>
HKLM\...\Run: [Fast] => C:\Users\Hosts\AppData\Local\Fast.exe (Нет файла)
HKU\S-1-5-21-2510479929-1062651375-4183931301-1021\...\Run: [Fast] => C:\Users\Hosts\AppData\Local\Fast.exe (Нет файла)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe [2024-03-24] () [Файл не подписан]
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine в архив с паролем virus, загрузите архив на облачный диск, дайте ссылку на скачивание в ЛС.

Обязательно ли входить в безопасный режим? Сейчас это займёт большое количество времени и очень неудобно. Вот если что все процессы запущенные. Красным цветом обведены те, которые невозможно закрыть, т.к. автоматически открываются

proc.zip

 

У нас если что есть возможность прислать 2 типа идентичных файлов. Один заражённый, а второй нет. Думаю это поможет в решении проблемы

[safety]

42 minutes ago, ant1tr3nd said:

Сейчас это займёт большое количество времени и очень неудобно. Вот если что все процессы запущенные.

пробуйте выполнить скрипт из нормального режима.

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine в архив с паролем virus, загрузите архив на облачный диск, дайте ссылку на скачивание в ЛС.

+

Добавьте дополнительно образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

22 minutes ago, ant1tr3nd said:

Думаю это поможет в решении проблемы

это не поможет. Это Phobos, и здесь ключ невозможно таким образом получить.

[ant1tr3nd]

1 час назад, safety сказал:

Заархивируйте папку C:\FRST\Quarantine в архив с паролем virus, загрузите архив на облачный диск, дайте ссылку на скачивание в ЛС.

Папки такой нет. Прикрепил Fixlog.txt 

SERVER2019_2024-03-25_18-51-29_v4.15.1.7z Fixlog.txt

[safety]

Часть файлов заражена Neshta, лучше пролечить системный диск с помощью KRD

 

+

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и и завершит работу uVS без перезагрузки.

 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\HOSTS\WINDOWS\SVCHOST.COM
delall %SystemDrive%\USERS\HOSTS\WINDOWS\SVCHOST.COM
zoo %SystemDrive%\USERS\HOSTS\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\FAST.EXE
delall %SystemDrive%\USERS\HOSTS\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\FAST.EXE
czoo
QUIT

добавьте файл Дата_времяlog.txt из папки uVS.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Изменено 26 марта, 2024 пользователем safety

[ant1tr3nd]

26.03.2024 в 04:38, safety сказал:

Часть файлов заражена Neshta, лучше пролечить системный диск с помощью KRD

 

+

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и и завершит работу uVS без перезагрузки.

 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\HOSTS\WINDOWS\SVCHOST.COM
delall %SystemDrive%\USERS\HOSTS\WINDOWS\SVCHOST.COM
zoo %SystemDrive%\USERS\HOSTS\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\FAST.EXE
delall %SystemDrive%\USERS\HOSTS\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\FAST.EXE
czoo
QUIT

добавьте файл Дата_времяlog.txt из папки uVS.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Извините за долгое отсутствие, восстанавливали удалённые старые БД. Сейчас опять вернулись к шифровальщику.
В лс я вам скинул ссылку.

[safety]

Система очищена от активных тел шифровальщика. С расшифровкой по Phobos, к сожалению, не сможем помочь без приватного ключа.