Перейти к содержанию

Заражён шифровальщиком Hunter-X@tuta.io


Рекомендуемые сообщения

Добрый день. Сервер был заражен шифровальщиком. 
Все файлы он переименовал и добавил расширение
~$АНАЛИЗ  2020.xlsx.id[07348D30-3335].[Hunter-X@tuta.io].HUNTER
Вот как выглядит зашифрованный файл. Раньше назывался просто АНАЛИЗ 2020
Прошу помочь(
 

Ссылка на комментарий
Поделиться на другие сайты

Добрый день. Сервер был заражен шифровальщиком. 
Все файлы он клонировал, переименовал и добавил расширение.
Был файл АНАЛИЗ  2020.xlsx
Теперь в той же папке есть файл
АНАЛИЗ  2020.xlsx.id[07348D30-3335].[Hunter-X@tuta.io].HUNTER 
Весит 63КБ 
и
~$АНАЛИЗ  2020.xlsx.id[07348D30-3335].[Hunter-X@tuta.io].HUNTER
Весит 1КБ
Раньше назывался просто АНАЛИЗ 2020
Прошу помочь!

 

Сообщение от модератора kmscom
Темы объединены

 

Ссылка на комментарий
Поделиться на другие сайты

Добрый день. Сервер был заражен шифровальщиком. Архив WinRAR.rar
Все файлы он переименовал и добавил расширение. Так же к файлам создались доп файлы.
Был файл АНАЛИЗ  2020.xlsx
Теперь в той же папке есть файл
АНАЛИЗ  2020.xlsx.id[07348D30-3335].[Hunter-X@tuta.io].HUNTER 
Весит 63КБ 
и
~$АНАЛИЗ  2020.xlsx.id[07348D30-3335].[Hunter-X@tuta.io].HUNTER
Весит 1КБ
Раньше назывался просто АНАЛИЗ 2020
Главное спати хотя бы бэкапы системы. Не могу их приложить т.к. весят +- 100 Гб

Прошу помочь!

FRST.txt Addition.txt

 

Строгое предупреждение от модератора thyrex
Перестаньте писать каждое новое сообщение в новой теме.
Темы объединены.

 

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Больше тем создавать не нужно, продолжаем здесь.

 

Файл

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe

загрузите на virustotal.com и дайте ссылку на результат анализа.

Ссылка на комментарий
Поделиться на другие сайты

+

Семь учётных записей обладают правами администратора, в т.ч. учётка C:\Users\Гость

Срочно уменьшите их количество и смените пароли.

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, Sandor сказал:

Здравствуйте!

 

Больше тем создавать не нужно, продолжаем здесь.

 

Файл


C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe

загрузите на virustotal.com и дайте ссылку на результат анализа.

Висит окно Computing Hash и ничего не происходит.

Заражённым компьютером пользуюсь через удалённый рабочий стол. Как только перенёс на свой основной - касперский начал ругаться, что это троян

image.thumb.png.f94e6f2675855120cc4ea977a322199e.png

Ссылка на комментарий
Поделиться на другие сайты

4 часа назад, Sandor сказал:

+

Семь учётных записей обладают правами администратора, в т.ч. учётка C:\Users\Гость

Срочно уменьшите их количество и смените пароли.

не могу ничего сделать. Заблокирована учетная запись администратора. Она постоянно обнуляется, чёрный экран и никуда не могу зайти. Св-ва системы тоже заблокированы. 

 

Получилось. Все доступные отключены

 

Сейчас все проверили и посмотрели. Это было не приложение скачанное, а напрямую был получен доступ путём подбора пароля. Дальше собственно сервер и умер. Учётные записи все отключены. Разные IP адреса так и продолжают ломиться в систему. Но сейчас всё отключено, две учётные записи остались. Основная и администратора. Работает только основная, администратор недоступен.

Ссылка на комментарий
Поделиться на другие сайты

В процессах активный шифровальщик.

() [Доступ не разрешён] C:\Users\Hosts\AppData\Local\Temp\3582-490\Fast.exe <2>

 

Если есть такая возможность выполните скрипт из безопасного режима системы.

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы

 

Start::
() [Доступ не разрешён] C:\Users\Hosts\AppData\Local\Temp\3582-490\Fast.exe <2>
(C:\Users\Hosts\AppData\Local\Temp\3582-490\Fast.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\SysWOW64\mshta.exe <11>
HKLM\...\Run: [Fast] => C:\Users\Hosts\AppData\Local\Fast.exe (Нет файла)
HKU\S-1-5-21-2510479929-1062651375-4183931301-1021\...\Run: [Fast] => C:\Users\Hosts\AppData\Local\Fast.exe (Нет файла)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe [2024-03-24] () [Файл не подписан]
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine в архив с паролем virus, загрузите архив на облачный диск, дайте ссылку на скачивание в ЛС.

Ссылка на комментарий
Поделиться на другие сайты

2 часа назад, safety сказал:

В процессах активный шифровальщик.

() [Доступ не разрешён] C:\Users\Hosts\AppData\Local\Temp\3582-490\Fast.exe <2>

 

Если есть такая возможность выполните скрипт из безопасного режима системы.

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы

 



Start::
() [Доступ не разрешён] C:\Users\Hosts\AppData\Local\Temp\3582-490\Fast.exe <2>
(C:\Users\Hosts\AppData\Local\Temp\3582-490\Fast.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\SysWOW64\mshta.exe <11>
HKLM\...\Run: [Fast] => C:\Users\Hosts\AppData\Local\Fast.exe (Нет файла)
HKU\S-1-5-21-2510479929-1062651375-4183931301-1021\...\Run: [Fast] => C:\Users\Hosts\AppData\Local\Fast.exe (Нет файла)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe [2024-03-24] () [Файл не подписан]
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine в архив с паролем virus, загрузите архив на облачный диск, дайте ссылку на скачивание в ЛС.


Обязательно ли входить в безопасный режим? Сейчас это займёт большое количество времени и очень неудобно. Вот если что все процессы запущенные. Красным цветом обведены те, которые невозможно закрыть, т.к. автоматически открываются

proc.zip

 

У нас если что есть возможность прислать 2 типа идентичных файлов. Один заражённый, а второй нет. Думаю это поможет в решении проблемы

Ссылка на комментарий
Поделиться на другие сайты

42 minutes ago, ant1tr3nd said:

Сейчас это займёт большое количество времени и очень неудобно. Вот если что все процессы запущенные.

пробуйте выполнить скрипт из нормального режима.

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine в архив с паролем virus, загрузите архив на облачный диск, дайте ссылку на скачивание в ЛС.

+

Добавьте дополнительно образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

22 minutes ago, ant1tr3nd said:

Думаю это поможет в решении проблемы

это не поможет. Это Phobos, и здесь ключ невозможно таким образом получить.

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, safety сказал:

Заархивируйте папку C:\FRST\Quarantine в архив с паролем virus, загрузите архив на облачный диск, дайте ссылку на скачивание в ЛС.

Папки такой нет. Прикрепил Fixlog.txt 

SERVER2019_2024-03-25_18-51-29_v4.15.1.7z Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Часть файлов заражена Neshta, лучше пролечить системный диск с помощью KRD

 

+

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и и завершит работу uVS без перезагрузки.

 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\HOSTS\WINDOWS\SVCHOST.COM
delall %SystemDrive%\USERS\HOSTS\WINDOWS\SVCHOST.COM
zoo %SystemDrive%\USERS\HOSTS\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\FAST.EXE
delall %SystemDrive%\USERS\HOSTS\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\FAST.EXE
czoo
QUIT

добавьте файл Дата_времяlog.txt из папки uVS.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

26.03.2024 в 04:38, safety сказал:

Часть файлов заражена Neshta, лучше пролечить системный диск с помощью KRD

 

+

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и и завершит работу uVS без перезагрузки.

 


;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\HOSTS\WINDOWS\SVCHOST.COM
delall %SystemDrive%\USERS\HOSTS\WINDOWS\SVCHOST.COM
zoo %SystemDrive%\USERS\HOSTS\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\FAST.EXE
delall %SystemDrive%\USERS\HOSTS\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\FAST.EXE
czoo
QUIT

добавьте файл Дата_времяlog.txt из папки uVS.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Извините за долгое отсутствие, восстанавливали удалённые старые БД. Сейчас опять вернулись к шифровальщику.
В лс я вам скинул ссылку.

Ссылка на комментарий
Поделиться на другие сайты

Система очищена от активных тел шифровальщика. С расшифровкой по Phobos, к сожалению, не сможем помочь без приватного ключа.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • arx
      От arx
      Доброго времени суток. Поймали шифровальщика, зашифрованы документы, архивы, базы 1с. Система стала работать не корректно, не открываются приложения обычным способом, только от имени администратора. Взлом произошел путем подбора пароля к RDP, затем применили эксплоит, запустили CMD от админа и создали новую учетку с которой произошло шифрование. Есть скриншоты действий злоумышленников так же прилагаю. Прошу помощи по восстановлению работы системы и по возможности расшифровки файлов.
      Addition.txt FRST.txt Требования.txt Скрины.rar
    • Justbox
      От Justbox
      Добрый день!
      Найден шифровальщик 
      зашифровал файлы под именем имя_файла.id[00F2B780-3351].[qqtiq@tuta.io]
       
      примеры зашифрованных файлов.rar с файлом info.txt
       
      Определить Шифровальщик не получается, в связи с чем невозможно определить существует ли дешифровщик к нему.
      Нужна помощь! 
       
      примеры зашифрованных файлов.rar
    • Anastas Dzhabbarov
      От Anastas Dzhabbarov
      Здравствуйте! Шифровальщик зашифровал файлы на сервере. Возможно вы поможете  восстановить их? 
      FRST.txt Addition.txt
    • WL787878
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
    • Aleksandr63
      От Aleksandr63
      Здравствуйте! зашифровало всё
      Новая папка.7z FRST.txt
×
×
  • Создать...