Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

в выходные зашифровались все файлы, включая 1с
установленный касперский больше не работает
прилагаю образцы файлов и  сообщение от вируса
пароль архива 32768

эквилибриум.zip

Опубликовано (изменено)

Эти четыре файла заархивируйте с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

2024-10-26 23:42 - 2024-06-09 01:54 - 000088576 ____H C:\Risen.exe
2024-10-26 23:39 - 2024-09-14 15:34 - 012150434 ____H C:\dist.exe

2024-10-26 23:42 - 2024-10-26 23:45 - 043406196 _____ C:\RisenLogs.txt

2024-10-26 23:39 - 2024-10-27 14:51 - 000000000 ____D C:\client_configs

 

 

 

Изменено пользователем safety
Опубликовано

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] WELCOME  
HKLM\...\Policies\system: [legalnoticetext]  We have penetrated your whole network due some critical security issues.  We have encrypted all files on each
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2024-10-26 23:42 - 2024-10-26 23:42 - 000007959 _____ C:\ProgramData\$Risen_Guide.hta
2024-10-26 23:42 - 2024-10-26 23:42 - 000007959 _____ C:\$Risen_Guide.hta
2024-10-26 23:42 - 2024-10-26 23:42 - 000001525 _____ C:\ProgramData\$Risen_Note.txt
2024-10-26 23:42 - 2024-10-26 23:42 - 000001525 _____ C:\$Risen_Note.txt
2024-10-26 23:42 - 2024-10-26 23:42 - 000001280 _____ C:\ProgramData\$Risen[5T6T936JP4].Private
2024-10-26 23:42 - 2024-10-26 23:42 - 000001280 _____ C:\$Risen[5T6T936JP4].Private
2024-10-26 23:42 - 2024-10-26 23:42 - 000000276 _____ C:\ProgramData\$Risen[5T6T936JP4].Public
2024-10-26 23:42 - 2024-10-26 23:42 - 000000020 _____ C:\ProgramData\Risen_ID.txt
2024-10-26 23:42 - 2024-06-09 01:54 - 000088576 ____H C:\Risen.exe
2024-10-26 23:39 - 2024-09-14 15:34 - 012150434 ____H C:\dist.exe
End::

Далее,

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку в ЛС.

Опубликовано (изменено)
15 часов назад, safety сказал:

 

подготовлю
а то, что есть и private и public файлы не поможет?

Изменено пользователем safety
не надо лишнего цитирования, просто пишите ответ
Опубликовано

Скорее всего нет.

Как правило своим публичным ключом злоумышленники шифруют ваш сессионный приватный ключ, который необходим для расшифрования файлов, Чтобы расшифровать сессионный приватный ключ, необходим приватный ключ из пары, которая создана на стороне злоумышленников. И понятно, что этот приватный ключ есть только у них.

Опубликовано
51 минуту назад, organism сказал:

файлы private и public важны?

Я думаю, эти файлы важны в том случае, если будет возможной расшифровка.

Сохраните данные файлы, а так же важные зашифрованные  файлы на отдельный носитель.

Пока ее нет по данному типу шифровальщика.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Sasha_sato
      Автор Sasha_sato
      Добрый день. Прошу помощи в расшифровке файлов после атаки шифровальщика BlackHunt 2

      Были зашифрованы диски виртуальных машин размещенных на ESXI. Злоумышленникам удалось пробраться во внутрь сети, подобрать пароль root включить ssh и выполнить шифрование.
      Так же зашифрованы бэкапы veam
      Во вложение отчет Farbar Recovery Scan Tool с сервера бэкапов и зашифрованные файлы с ReadMe
      KES установлен уже после зашифровки на сервер
      Файлов шифровальщика не нашел
      По рабочим станция был распространен MeshAgent, но KES отработал на него

       
      Отчет.rar BlackHunt.rar
    • Zinger0
      Автор Zinger0
      Зашифрованы файлы на Windows и ESXi.
      Судя по следам - работали вручную. Через Энидеск и т.д.
      Сеть и сохраненные пароли сканировали в т.ч. NirSoft утилитами и mimikatz
      Подробнее описание см. в архиве в файле.
      Остальные файлы предоставлю по запросу, как сказано в правилах.
      Обращаюсь в первый раз. Простите, если ошибся где-то.
      FRST.txt files.rar
    • Андрей1507
      Автор Андрей1507
      Поймал Black hunt 2.0. Прошу помощи. Весь сервер с 1с зашифрован.откликнитесь кто может помочь. Файлы скину

    • Aleterkrunt
      Автор Aleterkrunt
      Прошу помочь с расшифровкой файловAddition.txtFRST.txtFiles.zip
    • Максим М
      Автор Максим М
      Добрый день.
      Во вложении отчёты от FRST64, два зашифрованных файла, письмо вымогателя, ключи и .hta фаил, из-за которого я поставил архив на известный вам пароль. 
      BlackHunt2.zip
×
×
  • Создать...