Перейти к содержанию

Помощь в расшифровке файлов


Рекомендуемые сообщения

Добрый день. Поймали вирус-шифровальщик, поразил весь файловый серв. Все началось после того как подключились через Anydesk. На двух пользовательских компьютерах замещены вирусы после проверки KES. Лог файл приложил

FRST.rar KVRT2020_Data.rar Обнаружено KES.rar Файлы шифрованные.rar

Ссылка на комментарий
Поделиться на другие сайты

KES был установлен на пользовательских ПК на момент шифрования?

 

Судя по обнаружениям в KES. это PROTON. Возможно, вариант Shinra.

Цитата

Вчера, 15.04.2025 16:36:51    C:\Users\UserRDP35\Desktop\hi\Win32-Release\Stub.exe    Обнаружено    Обнаружен вредоносный объект    HEUR:Trojan-Ransom.Win32.Generic    Экспертный анализ    Файл    C:\Users\UserRDP35\Desktop\hi\Win32-Release    Stub.exe    Обнаружено    Троянское приложение    Высокая    Частично    SRV\Администратор    Инициатор
Вчера, 15.04.2025 16:36:54    C:\Users\UserRDP35\Desktop\hi\x64-Release\Stub.exe    Обнаружено    Обнаружен вредоносный объект    HEUR:Trojan-Ransom.Win32.Generic    Экспертный анализ    Файл    C:\Users\UserRDP35\Desktop\hi\x64-Release    Stub.exe    Обнаружено    Троянское приложение    Высокая    Частично    SRV\Администратор    Инициатор

Если эти файлы попали в карантин, восстановите данные файлы из карантина, заархивируйте с паролем virus, загрузите на облачный диск, добавьте ссылку на скачивание в ЛС или в ваше сообщение.

(затем данные файлы можно удалить совсем)

 

По логу FRST:

политики ограничения запуска приложений сами назначали?

Цитата

HKU\S-1-5-21-1799016581-3950930353-2357770932-1055\...\Policies\Explorer\DisallowRun: [1] powershell.exe
HKU\S-1-5-21-1799016581-3950930353-2357770932-1055\...\Policies\Explorer\DisallowRun: [2] powershell_ise.exe
HKU\S-1-5-21-1799016581-3950930353-2357770932-1055\...\Policies\Explorer\DisallowRun: [3] ServerManager.exe
HKU\S-1-5-21-1799016581-3950930353-2357770932-1055\...\Policies\Explorer\DisallowRun: [4] eventvwr.msc
HKU\S-1-5-21-1799016581-3950930353-2357770932-1055\...\Policies\Explorer\DisallowRun: [5] eventvwr.exe
HKU\S-1-5-21-1799016581-3950930353-2357770932-1055\...\Policies\Explorer\DisallowRun: [6] mstsc.exe

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

KES был установлен на пользовательских ПК на момент шифрования?

Ответ: Был установлен, не было лицензии, был истекшим

 

По логу FRST:

политики ограничения запуска приложений сами назначали?

Ответ: Нет, не я сам,возможно предыдущий админ.

Изменено пользователем Равиль.М
Ссылка на комментарий
Поделиться на другие сайты

А сканирование чем выполняли? истекшим продуктом, или после шифрования продлили лицензию?


Эти файлы можете восстановить из карантина?

C:\Users\UserRDP35\Desktop\hi\Win32-Release\Stub.exe

C:\Users\UserRDP35\Desktop\hi\x64-Release\Stub.exe

Можно всю папку hi заархивировать с паролем virus.

Ссылка на комментарий
Поделиться на другие сайты

6 минут назад, safety сказал:

А сканирование чем выполняли? истекшим продуктом, или после шифрования продлили лицензию?


Эти файлы можете восстановить из карантина?

C:\Users\UserRDP35\Desktop\hi\Win32-Release\Stub.exe

C:\Users\UserRDP35\Desktop\hi\x64-Release\Stub.exe

Можно всю папку hi заархивировать с паролем virus.

После шифрования продлили лицензию и сканировали.

В карантине они есть, при восстановлении сам вирус stub.exe Антивирус сразу блочит - не дает скопировать, отключать Антивирус и перекинуть не хватает смелости.

Ссылка на комментарий
Поделиться на другие сайты

Временно отключите защиту, или добавьте папку hi (C:\Users\UserRDP35\Desktop\hi) временно в исключение антивируса.  После архивирования с паролем можно файлы удалить, исключение так же удалить.

Файлы сами по себе не запускаются после восстановления из карантина. Или хотя бы напишите хэши указанных файлов. В карантине KES должны быть указаны хэши удаленных файлов.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Судя по логам FRST, можно сделать вывод, что запуск шифровальщика был не на файловом сервере, а на тех двум устройствах, связанных с данными пользователями:

C:\Users\UserRDP37

C:\Users\UserRDP35

где было обнаружение тел шифровальщика (Stub.exe)

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Владислав Эпштейн
      Автор Владислав Эпштейн
      Доброго дня, обнаружен троян шифровальщик, расширения файлов - xxpfz2h
      Текст вымогателей найден отдельно, сам шифровальщик был удалён KVRT 
      Имеются только названия угроз: Trojan-Ransom.Win32.Mimic.av     -    HEUR:Backdoor.MSIL.Crysan.gen
      Просканировать систему не представляется возможным через программу которая приложена в правилах.
      Сканирование через KVRT осуществлял из под безопасного режима без сетевых драйверов и заражённый диск подключался через отдельный HDD хаб.
      Образцы зашифрованных файлов имеются, как и текстовый документ вымогателей
      Посоветуйте пожалуйста о дальнейших действиях
    • Warrr
      Автор Warrr
      Прошу помощи с расшифровкой вируса Mimic. В поддержку уже обращался, сказали, не помогут. Есть много пар зашифрованных/оригинальных файлов. Может можно что-то придумать…
       
      спасибо 
    • Helsing13
      Автор Helsing13
      Добрый день! В результате атаки была зашифрована система. Все файлы стали с расширением lpdVIpAg7.
      После перезагрузки система работает но не все программы запускаются.
      Во вложении: письмо требование, пример зашифрованных файлов, отчеты о работе FRST, и несколько подозрительных исполняемых файлов.
       
      Пароль на оба архива: 1234
       
      virus.zip lpdVIpAg7.README.txt Addition.txt FRST.txt files.zip
    • M_X
      Автор M_X
      Здравствуйте. Зашифровали файлы... 
      Скорее всего проникли через RDP...
      Сам шифровальщик не обнаружал....
      Установленный антивирус - не отработал и был также зашифрован (symantec) .. После установил MalWarebytes.
      FRST.txt Addition.txt Desktop.rar
    • Джо
      Автор Джо
      Добрый день, наткнулся на новость Доступна расшифровка файлов после CryLock 2.0.0.0, 1.9.2.1 и 1.8.0.0 | VirusNet
      Может быть действительно появился шанс восстановить свои файлы после того как был атакован через RDP, зашифровались где-то в 2020г

      Система была перестановлена, неоднократно и железо тоже заменено(но доступ к нему еще есть если это важно)

      Если действительно расшифорвка поможет, буду очень благодарен. Думаю не я один такой "счастливчик" и вы спасете ценную информацию многих людей.
      Шифровальщик судя по всему CryLock 1.9 выкупт от почты graff_de_malfet@protonmail.ch (decrypt files? write to this mail: graff_de_malfet@protonmail.ch)
       
      crypted.7z
       
      как вариант у меня есть оригинальный файл и зашифрованный, если это может хоть както  помочь..
×
×
  • Создать...