Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Зашифровали виртуализацию и все файлы

Aleksandr_85
 Поделиться

Рекомендуемые сообщения

thyrex

thyrex

Опубликовано
Опубликовано

В правилах не сказало устанавливать пароль на архив с логами. Какой пароль?

 

В правилах сказано прислать примеры зашифрованных файлов и сообщение вымогателей для связи с ними. Приступайте.

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

1. Файл

2024-07-22 00:27 - 2024-07-21 22:34 - 000145408 _____ () C:\ProgramData\ds.exe

заархивируйте с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

 

С большой вероятностью файлы зашифрованы Lockbit v3 Black

 

Возможна атака выполняется через политики с контроллера домена.

Пока DC не очищены, лучше не включать ПК(которые возможно еще не заражены), которые авторизуются в домене при загрузке системы.

------------

 

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

по очистке текущей системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и перезагрузит ее

  

Start::
(cmd.exe ->) () [Файл не подписан] C:\ProgramData\ds.exe <2>
2024-07-22 00:27 - 2024-07-21 22:34 - 000145408 _____ C:\ProgramData\ds.exe
2024-07-22 00:27 - 2024-07-21 22:34 - 000145408 _____ () C:\ProgramData\ds.exe
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-4270648735-1747256919-4016143198-1990\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {F7EFA5C9-3058-4B8A-A522-59FF8E658425} - System32\Tasks\1 => C:\Windows\system32\WindowsPowerShell\v1.0\POWERSHELL.EXE [448000 2018-09-15] (Microsoft Windows -> Microsoft Corporation) -> Copy-Item "\\int.***.ru\netlogon\ds.exe" -Destination "C:\ProgramData"
Task: {340A36F1-1432-4C5E-9EB7-1F0353749E93} - System32\Tasks\2 => C:\Windows\system32\cmd.exe [278528 2021-01-09] (Microsoft Windows -> Microsoft Corporation) -> /c c:\programdata\ds.exe -pass 7d3f3fde525328ab6a96ec7bdf604b87
Task: {6D7B213E-EE64-4BBC-8DE2-6BA123777231} - System32\Tasks\3 => C:\Windows\system32\cmd.exe [278528 2021-01-09] (Microsoft Windows -> Microsoft Corporation) -> /c \\int.***.ru\netlogon\ds.exe -pass 7d3f3fde525328ab6a96ec7bdf604b87
2024-07-22 00:32 - 2024-07-22 00:32 - 000020266 __RSH C:\ProgramData\ntuser.pol
2024-07-22 00:32 - 2024-07-22 00:32 - 000003544 _____ C:\Windows\system32\Tasks\3
2024-07-22 00:32 - 2024-07-22 00:32 - 000003518 _____ C:\Windows\system32\Tasks\2
2024-07-25 23:24 - 2024-07-25 23:24 - 000003782 _____ C:\Windows\system32\Tasks\1
2024-07-22 00:46 - 2024-07-22 00:46 - 000000972 _____ C:\Users\Администратор\kh9ll6Cxy.README.txt
End::

После перезагрузки системы:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine заархивируйте с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

+

добавьте новые логи FRST для контроля.

=

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

скрипт выполнился успешно, в новом логе FRST сэмпла шифровальщика и задач запуска нет.

(Но файл FRST.txt в архиве усечен, нет первой половины лога.)

Ждем архив с карантином после выполнения скрипта FRST

Цитата

Папку C:\FRST\Quarantine заархивируйте с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Evgeniy Alekseevich
      Файлы зашифрованы, расширение файлов helpo2, как расшифровать ?
      Автор Evgeniy Alekseevich
      05 августа , судя по датам файлов, на нашем сервере был запущен шифровальщик, кем и как пока выясняем, но сегодня утром я обнаружил зашифрованы практически все файлы.
      Файлы имеют расширение helpo2.
      Может кто сталкивался и сможет помочь ?
      Связались с вымогателями, они для примера расшифровали два файла, я вложил в архив два зашифрованных и они же расшифрованные . Там же письмо, которое они оставили.
      Также прикладываю файлы от  Farbar Recovery Scan Tool.
      Может кто сможет помочь....
      С Уважением, Евгений.
       
       
      Addition.txt FRST.txt НаборФайлов5шт.zip
    • SatanicPanzer
      Файлы зашифрованы с расширением Encrypted
      Автор SatanicPanzer
      Скорее всего проник через почту на сервер небольшой фирмы, файлы и логи прикрепляю
      FRST.txt 1.zip
    • MirTa
      Троян ISTANBULTEAM зашифровал файлы
      Автор MirTa
      Здравствуйте, вчера в два этапа  10.00 и  20.00 оказались зашифрованы почти все файлы, в том числе и архиватор, поэтому не могу сложить в архив и не могу их прикрепить, подскажите, пожалуйста, как их сюда добавить
      Important_Notice.txt Addition.txt FRST.txt
    • itman
      История про зашифрованные файлы.
      Автор itman
      Добрый день всем! Хочу поведать вам всем поучительную историю как делать НЕ НАДО!!! В апреле месяце подцепили вирус -шифровальщик! Утром пришли  пользователи, а там все зашифровано на 3 севаках и 2х локалках на которых была расшаренная какая-то папка!! печаль !!! ну а что делать?! благо сисадмин делал копию раз в месяц акрониксом всех серверов, а бухгалтер помимо всего копии на внешний hdd каждое утро и хдд этот хранил в сейфе! (рекомендую всем бухгалтерам так делать!!!) и вот утром сисадмину звонок: -ААА!! Все пропало!! Что делать???? ничего не работает!!!  Помоги!!! и проч))) ну что проснулся от и начал смотреть что все таки произошло! на каждом из серваков при запуске вот такой текст: Encrypted by trust
       Email us for recovery: Rdpdik6@gmail.com
       In case of no answer, send to this email: Rdpp771@gmail.com
      Your unqiue ID:  писать не буду.
       Почти  все файлы (кроме *.dll и тому подобных и системных зашифрованы и переименованы по формуле имя.расширение. [Rdpdik6@gmail.com].lockedfile) и в каждой папке файлик txt c вот таким содержимым:
       Email 1:
      Rdpdik6@gmail.com
      Email 2:
      Rdpp771@gmail.com
      Send messages to both emails at the same time
      So send messages to our emails, check your spam folder every few hours
      ID: эту строчку сотру на всякий случай)
      If you do not receive a response from us after 24 hours, create a valid email, for example, gmail,outlook
      Then send us a message with a new email
      Ну сисадмин начал заниматься восстановлением копии то есть пусть месячные но все же копии а базы 1с так вообще вчерашние!!!  (а это самое главное!) прежде чем все восстанавливать сделал копию того что зашифровали а мало ли)) ну и параллельно всё-таки решил он написать этим недо людям (медикам на букву П), что так и так копии есть ущерб не большой на то что пока будет восстанавливаться копия уйдет время давайте разойдемся все миром и в итоге договорились на 30 баксах. Сисадмин им перевел на их кошелек, а они его кинули ни хрена они ему не прислали!!!!
      Прошло какое-то время (месяца полтора!) и тут пользователи посмотрели что у одного там пара доков осталась в общей папке уже после того как делалась копия у другого тоже какие-то доки  у третьего вообще фото с корпоратива и подумали они что всё-таки давай заплатим этим  людям нетрадиционной ориентации) сумму которую они просят! Скинулись толпой. Вот на переговоры опять отправили сисадмина (как жаль его)! Опять шли переговоры пару дней а то и больше ну вроде нашли они компромисс с шантажистами в размере 250$ те опять прислали адрес куда переводить деньги причем второй раз без гарантий! Типа из всех гарантий попросили прислать любой зашифрованный файл не более мегабайта и они покажут что всё-таки могут расшифровать. Отправили им какой-то pdf они в ответ скрин файла только весь замазанный видно только пару слов по которым надо только больше догадываться! По итогу  Он им опять перевел общий банк:
      Получаете:
      200.0813 Tether TRC20 USDT
      На счет:
      TBgx7szAXYNSwPJz1Ama2K85kTXrCcsnG1
       
      И? что вы думаете? Эти деятели пишут:
      Sinior (это ник в телеге одного из шантажистов )
      Deposit $50
      Sinior
      I won't give you the key until you pay me $50.
      Типа вы не доплатили 50 баксов!! Вот так уважаемые читатели этого поста ни в коем случае не вздумайте им платить так как они вам все равно ничего не пришлют!!! А деньги вы потеряете!!! И ни одного файла не расшифруете там рассчитано не на то чтоб найти компромисс а на то чтоб выдурить с вас побольше денег!!!!!!!
      P.S.    Делайте резервные копии и храните их на внешних hhd  и не оставляйте их подключенными к компьютеру! Сделал копию и отключай да не удобно зато надежно!!!! Всем удачи!!!!
       
      Сообщение от модератора thyrex Перенесено из раздела по шифровальщикам
       
    • tamerlan
      Зашифровались файлы
      Автор tamerlan
      Доброго дня. зашифровались все файлы в формат .danie 
      Волнует только расшифровать файл базы 1С, пото просто переустановлю систему и все. 
      Помогите пожалуйста.
×
×
  • Создать...