Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

В правилах не сказало устанавливать пароль на архив с логами. Какой пароль?

 

В правилах сказано прислать примеры зашифрованных файлов и сообщение вымогателей для связи с ними. Приступайте.

Опубликовано (изменено)

1. Файл

2024-07-22 00:27 - 2024-07-21 22:34 - 000145408 _____ () C:\ProgramData\ds.exe

заархивируйте с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

 

С большой вероятностью файлы зашифрованы Lockbit v3 Black

 

Возможна атака выполняется через политики с контроллера домена.

Пока DC не очищены, лучше не включать ПК(которые возможно еще не заражены), которые авторизуются в домене при загрузке системы.

------------

 

 

Изменено пользователем safety
Опубликовано (изменено)

по очистке текущей системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и перезагрузит ее

 

Start::
(cmd.exe ->) () [Файл не подписан] C:\ProgramData\ds.exe <2>
2024-07-22 00:27 - 2024-07-21 22:34 - 000145408 _____ C:\ProgramData\ds.exe
2024-07-22 00:27 - 2024-07-21 22:34 - 000145408 _____ () C:\ProgramData\ds.exe
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-4270648735-1747256919-4016143198-1990\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {F7EFA5C9-3058-4B8A-A522-59FF8E658425} - System32\Tasks\1 => C:\Windows\system32\WindowsPowerShell\v1.0\POWERSHELL.EXE [448000 2018-09-15] (Microsoft Windows -> Microsoft Corporation) -> Copy-Item "\\int.***.ru\netlogon\ds.exe" -Destination "C:\ProgramData"
Task: {340A36F1-1432-4C5E-9EB7-1F0353749E93} - System32\Tasks\2 => C:\Windows\system32\cmd.exe [278528 2021-01-09] (Microsoft Windows -> Microsoft Corporation) -> /c c:\programdata\ds.exe -pass 7d3f3fde525328ab6a96ec7bdf604b87
Task: {6D7B213E-EE64-4BBC-8DE2-6BA123777231} - System32\Tasks\3 => C:\Windows\system32\cmd.exe [278528 2021-01-09] (Microsoft Windows -> Microsoft Corporation) -> /c \\int.***.ru\netlogon\ds.exe -pass 7d3f3fde525328ab6a96ec7bdf604b87
2024-07-22 00:32 - 2024-07-22 00:32 - 000020266 __RSH C:\ProgramData\ntuser.pol
2024-07-22 00:32 - 2024-07-22 00:32 - 000003544 _____ C:\Windows\system32\Tasks\3
2024-07-22 00:32 - 2024-07-22 00:32 - 000003518 _____ C:\Windows\system32\Tasks\2
2024-07-25 23:24 - 2024-07-25 23:24 - 000003782 _____ C:\Windows\system32\Tasks\1
2024-07-22 00:46 - 2024-07-22 00:46 - 000000972 _____ C:\Users\Администратор\kh9ll6Cxy.README.txt
End::

После перезагрузки системы:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine заархивируйте с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

+

добавьте новые логи FRST для контроля.

=

Изменено пользователем safety
Опубликовано (изменено)

скрипт выполнился успешно, в новом логе FRST сэмпла шифровальщика и задач запуска нет.

(Но файл FRST.txt в архиве усечен, нет первой половины лога.)

Ждем архив с карантином после выполнения скрипта FRST

Цитата

Папку C:\FRST\Quarantine заархивируйте с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

 

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Денис А
      Автор Денис А
      Добрый день.
      Помогите, пожалуйста, расшифровать файлы на ПК.
      Приложил файлы зашифрованные. лог FRST и текстовый файл с требованием выкупа.
       
      Заранее спасибо.
      AeyLALoFF.README.txt зашифрованные файлы.rar Addition.txt
      FRST.txt
    • progig
      Автор progig
      Доброго времени суток 30.07 все ПК сети введенные  в домен одновременно перезагрузились. Виндовс больше не запустился, все остановилось на "восстановлении системы". Система не восстанавливалась, у некоторых ПК диски вовсе упали в RAW. Поверх был установлен виндовс, но старые файлы пользователей так и не открылись( у всех файлов(кроме .txt, которые открываются) одна и та же дата/время изменения файла с минутной разницей). Файл FRST сделан из под командной строки "восстановления системы". Файл Addition не формируется. Записки о выкупе не обнаружено.
      Прикрепляю файл FRST и зашифрованные файлы. FRST.rarзашифрованные файлы.rar
    • astraoren
      Автор astraoren
      Здравствуйте, шифровальщик зашифровал файлы. Прошу помощи в расшифровке
      encoder files.zip
    • Lingon
      Автор Lingon
      files.rarAddition.txt
      FRST.txt
    • Evgeniy Alekseevich
      Автор Evgeniy Alekseevich
      05 августа , судя по датам файлов, на нашем сервере был запущен шифровальщик, кем и как пока выясняем, но сегодня утром я обнаружил зашифрованы практически все файлы.
      Файлы имеют расширение helpo2.
      Может кто сталкивался и сможет помочь ?
      Связались с вымогателями, они для примера расшифровали два файла, я вложил в архив два зашифрованных и они же расшифрованные . Там же письмо, которое они оставили.
      Также прикладываю файлы от  Farbar Recovery Scan Tool.
      Может кто сможет помочь....
      С Уважением, Евгений.
       
       
      Addition.txt FRST.txt НаборФайлов5шт.zip
×
×
  • Создать...