Перейти к содержанию

Заражён шифровальщиком Hunter-X@tuta.io


Рекомендуемые сообщения

Добрый день. Сервер был заражен шифровальщиком. 
Все файлы он переименовал и добавил расширение
~$АНАЛИЗ  2020.xlsx.id[07348D30-3335].[Hunter-X@tuta.io].HUNTER
Вот как выглядит зашифрованный файл. Раньше назывался просто АНАЛИЗ 2020
Прошу помочь(
 

Ссылка на сообщение
Поделиться на другие сайты

Добрый день. Сервер был заражен шифровальщиком. 
Все файлы он клонировал, переименовал и добавил расширение.
Был файл АНАЛИЗ  2020.xlsx
Теперь в той же папке есть файл
АНАЛИЗ  2020.xlsx.id[07348D30-3335].[Hunter-X@tuta.io].HUNTER 
Весит 63КБ 
и
~$АНАЛИЗ  2020.xlsx.id[07348D30-3335].[Hunter-X@tuta.io].HUNTER
Весит 1КБ
Раньше назывался просто АНАЛИЗ 2020
Прошу помочь!

 

Сообщение от модератора kmscom
Темы объединены

 

Ссылка на сообщение
Поделиться на другие сайты

Добрый день. Сервер был заражен шифровальщиком. Архив WinRAR.rar
Все файлы он переименовал и добавил расширение. Так же к файлам создались доп файлы.
Был файл АНАЛИЗ  2020.xlsx
Теперь в той же папке есть файл
АНАЛИЗ  2020.xlsx.id[07348D30-3335].[Hunter-X@tuta.io].HUNTER 
Весит 63КБ 
и
~$АНАЛИЗ  2020.xlsx.id[07348D30-3335].[Hunter-X@tuta.io].HUNTER
Весит 1КБ
Раньше назывался просто АНАЛИЗ 2020
Главное спати хотя бы бэкапы системы. Не могу их приложить т.к. весят +- 100 Гб

Прошу помочь!

FRST.txt Addition.txt

 

Строгое предупреждение от модератора thyrex
Перестаньте писать каждое новое сообщение в новой теме.
Темы объединены.

 

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Больше тем создавать не нужно, продолжаем здесь.

 

Файл

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe

загрузите на virustotal.com и дайте ссылку на результат анализа.

Ссылка на сообщение
Поделиться на другие сайты

+

Семь учётных записей обладают правами администратора, в т.ч. учётка C:\Users\Гость

Срочно уменьшите их количество и смените пароли.

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Sandor сказал:

Здравствуйте!

 

Больше тем создавать не нужно, продолжаем здесь.

 

Файл


C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe

загрузите на virustotal.com и дайте ссылку на результат анализа.

Висит окно Computing Hash и ничего не происходит.

Заражённым компьютером пользуюсь через удалённый рабочий стол. Как только перенёс на свой основной - касперский начал ругаться, что это троян

image.thumb.png.f94e6f2675855120cc4ea977a322199e.png

Ссылка на сообщение
Поделиться на другие сайты
4 часа назад, Sandor сказал:

+

Семь учётных записей обладают правами администратора, в т.ч. учётка C:\Users\Гость

Срочно уменьшите их количество и смените пароли.

не могу ничего сделать. Заблокирована учетная запись администратора. Она постоянно обнуляется, чёрный экран и никуда не могу зайти. Св-ва системы тоже заблокированы. 

 

Получилось. Все доступные отключены

 

Сейчас все проверили и посмотрели. Это было не приложение скачанное, а напрямую был получен доступ путём подбора пароля. Дальше собственно сервер и умер. Учётные записи все отключены. Разные IP адреса так и продолжают ломиться в систему. Но сейчас всё отключено, две учётные записи остались. Основная и администратора. Работает только основная, администратор недоступен.

Ссылка на сообщение
Поделиться на другие сайты

В процессах активный шифровальщик.

() [Доступ не разрешён] C:\Users\Hosts\AppData\Local\Temp\3582-490\Fast.exe <2>

 

Если есть такая возможность выполните скрипт из безопасного режима системы.

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы

 

Start::
() [Доступ не разрешён] C:\Users\Hosts\AppData\Local\Temp\3582-490\Fast.exe <2>
(C:\Users\Hosts\AppData\Local\Temp\3582-490\Fast.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\SysWOW64\mshta.exe <11>
HKLM\...\Run: [Fast] => C:\Users\Hosts\AppData\Local\Fast.exe (Нет файла)
HKU\S-1-5-21-2510479929-1062651375-4183931301-1021\...\Run: [Fast] => C:\Users\Hosts\AppData\Local\Fast.exe (Нет файла)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe [2024-03-24] () [Файл не подписан]
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine в архив с паролем virus, загрузите архив на облачный диск, дайте ссылку на скачивание в ЛС.

Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, safety сказал:

В процессах активный шифровальщик.

() [Доступ не разрешён] C:\Users\Hosts\AppData\Local\Temp\3582-490\Fast.exe <2>

 

Если есть такая возможность выполните скрипт из безопасного режима системы.

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы

 



Start::
() [Доступ не разрешён] C:\Users\Hosts\AppData\Local\Temp\3582-490\Fast.exe <2>
(C:\Users\Hosts\AppData\Local\Temp\3582-490\Fast.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\SysWOW64\mshta.exe <11>
HKLM\...\Run: [Fast] => C:\Users\Hosts\AppData\Local\Fast.exe (Нет файла)
HKU\S-1-5-21-2510479929-1062651375-4183931301-1021\...\Run: [Fast] => C:\Users\Hosts\AppData\Local\Fast.exe (Нет файла)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe [2024-03-24] () [Файл не подписан]
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine в архив с паролем virus, загрузите архив на облачный диск, дайте ссылку на скачивание в ЛС.


Обязательно ли входить в безопасный режим? Сейчас это займёт большое количество времени и очень неудобно. Вот если что все процессы запущенные. Красным цветом обведены те, которые невозможно закрыть, т.к. автоматически открываются

proc.zip

 

У нас если что есть возможность прислать 2 типа идентичных файлов. Один заражённый, а второй нет. Думаю это поможет в решении проблемы

Ссылка на сообщение
Поделиться на другие сайты
42 minutes ago, ant1tr3nd said:

Сейчас это займёт большое количество времени и очень неудобно. Вот если что все процессы запущенные.

пробуйте выполнить скрипт из нормального режима.

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine в архив с паролем virus, загрузите архив на облачный диск, дайте ссылку на скачивание в ЛС.

+

Добавьте дополнительно образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

22 minutes ago, ant1tr3nd said:

Думаю это поможет в решении проблемы

это не поможет. Это Phobos, и здесь ключ невозможно таким образом получить.

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, safety сказал:

Заархивируйте папку C:\FRST\Quarantine в архив с паролем virus, загрузите архив на облачный диск, дайте ссылку на скачивание в ЛС.

Папки такой нет. Прикрепил Fixlog.txt 

SERVER2019_2024-03-25_18-51-29_v4.15.1.7z Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Часть файлов заражена Neshta, лучше пролечить системный диск с помощью KRD

 

+

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и и завершит работу uVS без перезагрузки.

 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\HOSTS\WINDOWS\SVCHOST.COM
delall %SystemDrive%\USERS\HOSTS\WINDOWS\SVCHOST.COM
zoo %SystemDrive%\USERS\HOSTS\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\FAST.EXE
delall %SystemDrive%\USERS\HOSTS\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\FAST.EXE
czoo
QUIT

добавьте файл Дата_времяlog.txt из папки uVS.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
26.03.2024 в 04:38, safety сказал:

Часть файлов заражена Neshta, лучше пролечить системный диск с помощью KRD

 

+

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и и завершит работу uVS без перезагрузки.

 


;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\HOSTS\WINDOWS\SVCHOST.COM
delall %SystemDrive%\USERS\HOSTS\WINDOWS\SVCHOST.COM
zoo %SystemDrive%\USERS\HOSTS\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\FAST.EXE
delall %SystemDrive%\USERS\HOSTS\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\FAST.EXE
czoo
QUIT

добавьте файл Дата_времяlog.txt из папки uVS.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Извините за долгое отсутствие, восстанавливали удалённые старые БД. Сейчас опять вернулись к шифровальщику.
В лс я вам скинул ссылку.

Ссылка на сообщение
Поделиться на другие сайты

Система очищена от активных тел шифровальщика. С расшифровкой по Phobos, к сожалению, не сможем помочь без приватного ключа.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • user7
      От user7
      Здравствуйте!
      Компьютер  с Windows 7 SP1 работал без пререканий какое-то время.
      И вот случилось это:файлы зашифрованы.
      Предположительно, взлом компьютера был через подбор пароля RDP Удалённого стола.
      Не зашифрованы остались файлы журнала Windows , но они были почищены до даты взлома. Журнал начал писаться уже после взлома.
      Поэтому  самой интересной инфы нет.
       
      password virus.7z FRST+Addition.7z
      пример зашифрованных файлов.7z
    • ОлегОлег
      От ОлегОлег
      Компьютеры зашифрованы. Помогите
    • morose
      От morose
      У меня есть этот файл, подскажите как отправить вам
       
      Сообщение от модератора kmscom Сообщение вынесено из темы Вирус-шифровальщик [blankqq@tuta.io].elpy  
    • Denys Kordelski
      От Denys Kordelski
      ??? Какой утилитой можно спасти Фалы с расширением - [Hunter-X@tuta.io].HUNTER             Которые появились после вируса шифровщика.. Был бы очень благодарен за пмошь.
    • Pavelyelnikov
      От Pavelyelnikov
      Мы вообще библиотека, у нас резервные копии сервера зашифрованы.  [Hunter-X@tuta.io].HUNTER только id у нас другой id[A0D2CDAB-3335].[Hunter-X@tuta.io].HUNTER
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...