Перейти к содержанию

Шифровальщик вымогатель. Расширение .y8ItHTbGJ

Always_Young
 Поделиться

Рекомендуемые сообщения

Always_Young

Always_Young

Опубликовано
Опубликовано

Здравствуйте! На ПК пришло письмо с файлом с раширением .cab. Файл находится в облаке. Скрин проверки с VirusTotal прилагается. После этого все документы JPEG, JPG,PDF,XLSX,DOCX оказались зашифрованы. Доступ на ПК осуществлялся удаленно, через AnyDesk. В сети три ПК и один ноутбук по Wi-Fi. Заражен оказался один. Есть ли возможность расшифровать? 

VirusTotal.jpg

Addition.txt FRST.txt y8ItHTbGJ.README.txt Файлы шифр.zip

safety

safety

Опубликовано
Опубликовано (изменено)

Отчет по сканированию из KVRT так же добавьте в архиве, без пароля.

Если сохранилось письмо, добавьте в формате EML в архиве, с паролем virus

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)
Цитата

На ПК пришло письмо с файлом с раширением .cab.

1. блокируйте запуск исполняемых файлов из архивов через локальные политики.

2. информируйте сотрудников о подозрительных расширениях архивов из вложений, требуйте от поставщиков архивы только определенного формата. (rar, zip, 7z с какими удобнее работать)

 

Если файл проверяли на VT, то можно обратить внимание а это: что содержится внутри этого "архива".

 

image.png

RTF файл добавлен для отвлечения внимания.

 

image.png

 

Судя по отчету KVRT система очищена от активных тел шифровальщика.

 

Дополнительно выполнит очистку системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKU\S-1-5-21-1936055778-3461548480-1539005704-1000\...\Policies\system: [DisableTaskMgr] 1
Startup: C:\Users\cafetaria2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\y8ItHTbGJ.README.txt [2025-02-12] () [Файл не подписан]
CHR HKLM\...\Chrome\Extension: [aaaaahlfahldnilidgnlikdckbfehhca]
CHR HKLM-x32\...\Chrome\Extension: [aaaaahlfahldnilidgnlikdckbfehhca]
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2025-02-12 05:04 - 2025-02-12 05:03 - 000001934 _____ C:\Users\y8ItHTbGJ.README.txt
2025-02-12 05:03 - 2025-02-12 05:03 - 000001934 _____ C:\y8ItHTbGJ.README.txt
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Изменено пользователем safety
Always_Young

Always_Young

Опубликовано
  • Автор
Опубликовано

Перезагрузка прошла без окна вымогателя. Загрузился быстрее. Есть ли возможность восстановить файлы?

Fixlog.txt

safety

safety

Опубликовано
Опубликовано (изменено)

Да, диспетчер процессов должен заработать,

 

по расшифровке файлов после атаки LockbitV3Black, к сожалению, не сможем вам помочь, не имея приватного ключа.

Поскольку сэмпл шифровальщика содержит только публичный ключ, а приватный ключ и дешифратор остаются на стороне злоумышленников. На текущий момент восстановление данных возможно только из бэкапов.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

Обратите внимание на статистику обращений по данному шифровальщику по данной конкретной группе room155. Рассылки подобных писем проводится регулярно, 1-2 раза в месяц. Там что может оказаться, что атака повторится, если не принимать никаких мер.

 

image.png

Изменено пользователем safety
  • Спасибо (+1) 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ростислав88
      Файлы зашифрованы Trojan.Encoder.31074 (Lockbit 3)
      Автор ростислав88
      Зашифровали файлы на 10 компах. Данные пока такие, попробую собрать больше попой же. 
      Текст требования
       
      И несколько зараженный файлов  в архиве.
       
      Desktop.rar
    • Evgen2454
      Шифровальщик Ransom:Win32/Lockbit.RPA!MTB с расширением .bGe6JmZwv
      Автор Evgen2454
      Добрый день. 07.07.2023 в ночь взломали все сервера и положили всю сеть. Обнаружили когда с утра не работала 1с. Ощущение будто ломали ручками потому что не до всех мест долезли и местами после подключения видны открытые окна которые оставили злоумышленники (было отрыто окно групповых политик где устанавливалось изображение рабочего стола). Файл exe который всё ломает антивирусом видится как Ransom:Win32/Lockbit.RPA!MTB. Сохранялся исполняемый файл в несколько директорий, вот которые заметил:

      C:\Windows\SYSVOL\domain\scripts
      \\domain.local\NETLOGON
      \\domain.local\SYSVOL\domain.local\scripts

      так же через время на принтеры отправили 999 копий текста вымогателей. Архив с вирусом есть. Очень нужна помощь по восстановлению данных.
      Addition.txtFRST.txtзашифрованный файл.rarbGe6JmZwv.README.txt
    • Андрей121
      Шифровальщик Trojan.Encoder.32210 (Lockbit 3) file.4HNnrRWXy
      Автор Андрей121
      Добрый вечер! Обнаружили что 21.06.2023 тихо взломали 2 наших сервера с помощью вируса шифровальщика вроде бы Trojan.Encoder.31074 (Lockbit 3). Обнаружил после того как пользователи начали жаловаться на то что документы не открываются. На сам рабочий стол доступ имелся и было обнаружено что лицензионного антивирусного программного обеспечения kaspersky endpoint security нигде нет. Решил написать пост в данной теме на форуме ( в dr web сразу отказались помочь т.к сказали что это невозможно, только сказали имя шифровальщика). Переписку с вымогателями не вел. Систему не лечил и не чистил. Очень нужна помощь по восстановлению данных.
    • viktor42
      Файлы на компьютере зашифровались расширением KVmxXhJX1
      Автор viktor42
      Файлы на компьютере зашифровались расширением KVmxXhJX1.
      Есть ли вариант расшифровки?
    • Guest239410
      Зашифрованы файлы, помогите расшифровать
      Автор Guest239410
      Добрый день, АРМ был заражен вирусом
       
      помогите расшифровать файлы БД.
×
×
  • Создать...