Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Приветствую.
Поймали шифровальщика, который работает до сих.
Ничего не переустанавливали и не трогали, проверяем только доступность компьютеров, их работу и ищем, где он еще может работать. Если понятно, что шифровальщик еще где-то работает, то отключаем этот сервер/компьютер.
Все, что можно спасти, копируем.

Пострадала почти вся сеть, не только лок.пк и сервера, но и NAS (именно smb)
Шифровальщик затронул большинство нужных файлов, но не все.
Логи собрали с одного сервера, примеры файлов с него же.
Файл шифровальщика пока найти не удалось, как и выяснить все остальное, кроме того, как оно работает с ночи примерно с 00:00 12.12.2024

FRST.txt Addition.txt архив.zip

Опубликовано (изменено)

Этот процесс надо остановить, если работает диспетчер процессов

() [Файл не подписан] C:\Users\Public\Pictures\Sample Pictures\x.exe

 

Этот файл

C:\Users\Public\Pictures\Sample Pictures\x.exe

заархвируйте с паролем virus, добавьте архив в ваше сообщение.

Изменено пользователем safety
Опубликовано

Выполните очистку системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
() [Файл не подписан] C:\Users\Public\Pictures\Sample Pictures\x.exe
(voidtools -> voidtools) C:\Program Files (x86)\Everything\Everything.exe
2024-12-12 05:09 - 2024-12-12 05:09 - 000003174 _____ C:\Windows\system32\Tasks\Windows Update BETA
2024-12-12 04:44 - 2024-12-12 04:44 - 000000542 _____ C:\Users\innokentiy_Help.txt
2024-12-12 04:44 - 2024-12-12 04:44 - 000000542 _____ C:\ProgramData\innokentiy_Help.txt
2024-12-12 04:44 - 2024-12-12 04:44 - 000000542 _____ C:\Program Files\innokentiy_Help.txt
2024-12-12 04:44 - 2024-12-12 04:44 - 000000542 _____ C:\Program Files (x86)\innokentiy_Help.txt
2024-12-12 00:57 - 2024-12-12 00:57 - 000000542 _____ C:\innokentiy_Help.txt
Task: {9D2F5D3E-62D7-4439-9A65-B835579616ED} - System32\Tasks\Windows Update BETA => C:\Users\Public\Pictures\Sample  -> Pictures\x.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Добавьте новые логи FRST для контроля.

Опубликовано
10 минут назад, safety сказал:

Этот процесс надо остановить, если работает диспетчер процессов

() [Файл не подписан] C:\Users\Public\Pictures\Sample Pictures\x.exe

 

Этот файл

C:\Users\Public\Pictures\Sample Pictures\x.exe

заархвируйте с паролем virus, добавьте архив в ваше сообщение.

готово

Sample Pictures.rar

Опубликовано (изменено)

Скрипт очистки (выше) выполните в системе, так как судя по логам FRST, шифровальщик еще в памяти, (запускается через задачу)

-----------

Цитата

 

Этот файл

C:\Users\Public\Pictures\Sample Pictures\x.exe

 

https://www.virustotal.com/gui/file/bdd000f0cd3b6e3e9ef76969407364e5fc87568f3f6f6c0a8f470dfd41087457

ESET-NOD32 A Variant Of Win32/Filecoder.ONI

Судя по данным VT это и есть тело шифровальщика.

Результат его работы:
 

Цитата

 

%USERPROFILE%\Downloads\innokentiy_Help.txt

history.txt.innoken

C:\Windows\System32\cmd.exe /c SCHTASKS.exe /Create /RU NT AUTHORITY\SYSTEM /sc onstart /TN Windows Update BETA /TR C:\Users\<USER>\Downloads\x.vexe.exe /F

 

 

Изменено пользователем safety
Опубликовано
17 минут назад, safety сказал:

Выполните очистку системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
() [Файл не подписан] C:\Users\Public\Pictures\Sample Pictures\x.exe
(voidtools -> voidtools) C:\Program Files (x86)\Everything\Everything.exe
2024-12-12 05:09 - 2024-12-12 05:09 - 000003174 _____ C:\Windows\system32\Tasks\Windows Update BETA
2024-12-12 04:44 - 2024-12-12 04:44 - 000000542 _____ C:\Users\innokentiy_Help.txt
2024-12-12 04:44 - 2024-12-12 04:44 - 000000542 _____ C:\ProgramData\innokentiy_Help.txt
2024-12-12 04:44 - 2024-12-12 04:44 - 000000542 _____ C:\Program Files\innokentiy_Help.txt
2024-12-12 04:44 - 2024-12-12 04:44 - 000000542 _____ C:\Program Files (x86)\innokentiy_Help.txt
2024-12-12 00:57 - 2024-12-12 00:57 - 000000542 _____ C:\innokentiy_Help.txt
Task: {9D2F5D3E-62D7-4439-9A65-B835579616ED} - System32\Tasks\Windows Update BETA => C:\Users\Public\Pictures\Sample  -> Pictures\x.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Добавьте новые логи FRST для контроля.

готово
https://disk.yandex.ru/d/E4gXmKS--Bhdhg

Fixlog.txt FRST_new.txt Addition_new.txt

Опубликовано (изменено)

Судя по Fixlog.txt очистка прошла успешно.

Задача с запуском файла удалена, если сам файл

C:\Users\Public\Pictures\Sample Pictures\x.exe

сохранился на диске, удалите его вручную.

 

С расшифровкой файлов по данному типу шифровальщика не сможем помочь.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety
Опубликовано (изменено)

Доброго времени суток, получили ключи дешифратора на ос windows и linux
Большая часть этими ключами расшифровалась, но большие файлы поломаны, ничего не помогло
А также выяснили, что какие-то файлы не до конца расшифровываются, расширение становится другим, файл также не доступен
Может это как-то поможет в решении дальнейших проблем
https://disk.yandex.ru/d/vzHaazxHPMgI9Q
А также положили ту да же сам вирус (архив), нашли его тоже

Изменено пользователем LeraB
Опубликовано (изменено)

Спасибо.

Да, у PROXIMA есть проблемы с расшифровкой больших файлов, но возможно, что вследствие ошибок при шифровании больших файлов, (т. е любой дешифратор уже не сможет корректно расшифровать эти файлы).

 

Можно попробовать расшифровку тех файлов, которые некорректно расшифровываются дешифратором, используя скрипт для Python из данного репозитария:

Скрипт обновлен с учетом, в том числе и вашего расширения.

Цитата

RANSOM_EXTS = [
    '.Hercul',
    '.Dominik',
    '.Elons',
    '.Abram',
    '.Frank',
    '.Funder',
    '.Key2030',
    '.Arthur',
    '.Bpant',
    '.Thomas',
    '.innoken',
    '.RealBer',
]

 

 

Цитата

А также выяснили, что какие-то файлы не до конца расшифровываются, расширение становится другим, файл также не доступен


копии есть у вас проблемных зашифрованных файлов на момент до работы дешифратора?

 

В зашифрованных файлах, которые были корректно расшифрованы в конце по 7 нулей.

 

image.png

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Алеся Сорокина
      Автор Алеся Сорокина
      Операционная система была переустановлена. Письмо и примеры файлов приложили. Пароль на архив virus
      virus.zip
    • Андрей007090
      Автор Андрей007090
      Помогите пожалуйста поймал шифровальщика 
      С и Д диски оба зашифрованы 
      С - переустановил 
      Д остался там все данные что нужны 
      Помогите  пожалуйста фото прикрепил 
       
      Что надо сделать что бы приложить суда коды ошибок или что именно зип архив ? 

    • alexlaev
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • bakankovaelena
      Автор bakankovaelena
      Сегодня утром были "обрадованы". Кто такой, какой тип не знаем. Есть только письмо от вымогателя и пара незашифрованных/зашифрованных файлов. Я сама не программист и с утилитой Farbar пока не справилась, надеюсь, что завтра кто-нибудь поможет и будет более полная информация.
      Файлы с файлами прилагаю
      OLD.7z
    • dpk
      Автор dpk
      Ночью к серверу подключились по rdp. На рабочем столе обнаружились папки злоумышленника. Одна из них hi в ней лежал stub.exe. Все журналы событий были почищены.
      В безопасном режиме прошелся cureit, а так же лог FRST в безопасном режиме был сделан. Папка hi под паролем virus. Папка files под паролем shifr.
      hi.zip files.zip
×
×
  • Создать...