Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Приветствую.
Поймали шифровальщика, который работает до сих.
Ничего не переустанавливали и не трогали, проверяем только доступность компьютеров, их работу и ищем, где он еще может работать. Если понятно, что шифровальщик еще где-то работает, то отключаем этот сервер/компьютер.
Все, что можно спасти, копируем.

Пострадала почти вся сеть, не только лок.пк и сервера, но и NAS (именно smb)
Шифровальщик затронул большинство нужных файлов, но не все.
Логи собрали с одного сервера, примеры файлов с него же.
Файл шифровальщика пока найти не удалось, как и выяснить все остальное, кроме того, как оно работает с ночи примерно с 00:00 12.12.2024

FRST.txt Addition.txt архив.zip

Опубликовано (изменено)

Этот процесс надо остановить, если работает диспетчер процессов

() [Файл не подписан] C:\Users\Public\Pictures\Sample Pictures\x.exe

 

Этот файл

C:\Users\Public\Pictures\Sample Pictures\x.exe

заархвируйте с паролем virus, добавьте архив в ваше сообщение.

Изменено пользователем safety
Опубликовано

Выполните очистку системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
() [Файл не подписан] C:\Users\Public\Pictures\Sample Pictures\x.exe
(voidtools -> voidtools) C:\Program Files (x86)\Everything\Everything.exe
2024-12-12 05:09 - 2024-12-12 05:09 - 000003174 _____ C:\Windows\system32\Tasks\Windows Update BETA
2024-12-12 04:44 - 2024-12-12 04:44 - 000000542 _____ C:\Users\innokentiy_Help.txt
2024-12-12 04:44 - 2024-12-12 04:44 - 000000542 _____ C:\ProgramData\innokentiy_Help.txt
2024-12-12 04:44 - 2024-12-12 04:44 - 000000542 _____ C:\Program Files\innokentiy_Help.txt
2024-12-12 04:44 - 2024-12-12 04:44 - 000000542 _____ C:\Program Files (x86)\innokentiy_Help.txt
2024-12-12 00:57 - 2024-12-12 00:57 - 000000542 _____ C:\innokentiy_Help.txt
Task: {9D2F5D3E-62D7-4439-9A65-B835579616ED} - System32\Tasks\Windows Update BETA => C:\Users\Public\Pictures\Sample  -> Pictures\x.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Добавьте новые логи FRST для контроля.

Опубликовано
10 минут назад, safety сказал:

Этот процесс надо остановить, если работает диспетчер процессов

() [Файл не подписан] C:\Users\Public\Pictures\Sample Pictures\x.exe

 

Этот файл

C:\Users\Public\Pictures\Sample Pictures\x.exe

заархвируйте с паролем virus, добавьте архив в ваше сообщение.

готово

Sample Pictures.rar

Опубликовано (изменено)

Скрипт очистки (выше) выполните в системе, так как судя по логам FRST, шифровальщик еще в памяти, (запускается через задачу)

-----------

Цитата

 

Этот файл

C:\Users\Public\Pictures\Sample Pictures\x.exe

 

https://www.virustotal.com/gui/file/bdd000f0cd3b6e3e9ef76969407364e5fc87568f3f6f6c0a8f470dfd41087457

ESET-NOD32 A Variant Of Win32/Filecoder.ONI

Судя по данным VT это и есть тело шифровальщика.

Результат его работы:
 

Цитата

 

%USERPROFILE%\Downloads\innokentiy_Help.txt

history.txt.innoken

C:\Windows\System32\cmd.exe /c SCHTASKS.exe /Create /RU NT AUTHORITY\SYSTEM /sc onstart /TN Windows Update BETA /TR C:\Users\<USER>\Downloads\x.vexe.exe /F

 

 

Изменено пользователем safety
Опубликовано
17 минут назад, safety сказал:

Выполните очистку системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
() [Файл не подписан] C:\Users\Public\Pictures\Sample Pictures\x.exe
(voidtools -> voidtools) C:\Program Files (x86)\Everything\Everything.exe
2024-12-12 05:09 - 2024-12-12 05:09 - 000003174 _____ C:\Windows\system32\Tasks\Windows Update BETA
2024-12-12 04:44 - 2024-12-12 04:44 - 000000542 _____ C:\Users\innokentiy_Help.txt
2024-12-12 04:44 - 2024-12-12 04:44 - 000000542 _____ C:\ProgramData\innokentiy_Help.txt
2024-12-12 04:44 - 2024-12-12 04:44 - 000000542 _____ C:\Program Files\innokentiy_Help.txt
2024-12-12 04:44 - 2024-12-12 04:44 - 000000542 _____ C:\Program Files (x86)\innokentiy_Help.txt
2024-12-12 00:57 - 2024-12-12 00:57 - 000000542 _____ C:\innokentiy_Help.txt
Task: {9D2F5D3E-62D7-4439-9A65-B835579616ED} - System32\Tasks\Windows Update BETA => C:\Users\Public\Pictures\Sample  -> Pictures\x.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Добавьте новые логи FRST для контроля.

готово
https://disk.yandex.ru/d/E4gXmKS--Bhdhg

Fixlog.txt FRST_new.txt Addition_new.txt

Опубликовано (изменено)

Судя по Fixlog.txt очистка прошла успешно.

Задача с запуском файла удалена, если сам файл

C:\Users\Public\Pictures\Sample Pictures\x.exe

сохранился на диске, удалите его вручную.

 

С расшифровкой файлов по данному типу шифровальщика не сможем помочь.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety
Опубликовано (изменено)

Доброго времени суток, получили ключи дешифратора на ос windows и linux
Большая часть этими ключами расшифровалась, но большие файлы поломаны, ничего не помогло
А также выяснили, что какие-то файлы не до конца расшифровываются, расширение становится другим, файл также не доступен
Может это как-то поможет в решении дальнейших проблем
https://disk.yandex.ru/d/vzHaazxHPMgI9Q
А также положили ту да же сам вирус (архив), нашли его тоже

Изменено пользователем LeraB
Опубликовано (изменено)

Спасибо.

Да, у PROXIMA есть проблемы с расшифровкой больших файлов, но возможно, что вследствие ошибок при шифровании больших файлов, (т. е любой дешифратор уже не сможет корректно расшифровать эти файлы).

 

Можно попробовать расшифровку тех файлов, которые некорректно расшифровываются дешифратором, используя скрипт для Python из данного репозитария:

Скрипт обновлен с учетом, в том числе и вашего расширения.

Цитата

RANSOM_EXTS = [
    '.Hercul',
    '.Dominik',
    '.Elons',
    '.Abram',
    '.Frank',
    '.Funder',
    '.Key2030',
    '.Arthur',
    '.Bpant',
    '.Thomas',
    '.innoken',
    '.RealBer',
]

 

 

Цитата

А также выяснили, что какие-то файлы не до конца расшифровываются, расширение становится другим, файл также не доступен


копии есть у вас проблемных зашифрованных файлов на момент до работы дешифратора?

 

В зашифрованных файлах, которые были корректно расшифрованы в конце по 7 нулей.

 

image.png

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ideator
      Автор ideator
      Добрый день! Ночью все файлы были зашифрованы. Прикрепляю зашифрованные файлы с запиской и лог 
      зашифрованные файлы с запиской.rar Fixlog.txt Quarantine.rar
    • M_X
      Автор M_X
      Здравствуйте. Зашифровали файлы... 
      Скорее всего проникли через RDP...
      Сам шифровальщик не обнаружал....
      Установленный антивирус - не отработал и был также зашифрован (symantec) .. После установил MalWarebytes.
      FRST.txt Addition.txt Desktop.rar
    • Daniil Kovalev
      Автор Daniil Kovalev
      Добрый день словили шифровальщик biobiorans
      Можете помочь расшифровкой файлов?
      Тело шифровальщика найти не удалось
      Вкладываю примеры с зашифрованными файликами - это логи MS SQL сервера  *.ldf

      Текст вымогателя:
      BioBio Ransmoware ATTENTION! At the moment, your system is not protected. We can fix itand restore files. To get started, send a file to decrypt trial. You can trust us after opening the test file. 2.Do not use free programs to unlock. To restore the system write to both : biobiorans@gmail.com        and      biobiorans@keemail.me Telegram id:@biobiorans Your Decryption ID: ******
      FRST.txt
      Crypted2.7z Crypted1.7z
    • VaDima32
      Автор VaDima32
      Ночью зашифровали сервер на Windows Server 2019 с базой 1С. Все файлы с расширением .SyMat. Есть хоть какой-то шанс восстановить данные?
      Заранее спасибо. 
      Файлы Логов программы Farbar Recovery Scan Tool, а так же архив с двумя зашифрованными файлами и фаллом письма вымогателей прикрепляю.    
      Логи.zip Архив.zip
    • Stanislav42
      Автор Stanislav42
      Добрый день! Пострадало несколько windows-устройств от действий шифровальщика и вымогает за расшифровку деньги.
      Прошу оказать помощь в расшифровке файлов.
      Отправляю архив с образцами файлов и с текстом требований, а также логи FRST.
      Шифрование произошло в ночное время. Журнал событий Windows очищен. Устройства перезагружались.
      Системы изолированы на данный момент. Исполняемый файл найден и подготовлен к отправке. 
      образцы файлов.zip Addition.txt FRST.txt
×
×
  • Создать...