Перейти к содержанию

Шифровальщик BagIRA.

DimNsk
 Поделиться

Рекомендуемые сообщения

safety

safety

Опубликовано
Опубликовано (изменено)

Добавьте, пожалуйста, логи FRST из зашифрованной системы.

Цитата

при помощи Farbar Recovery Scan Tool.

+

добавьте в архиве, без пароля несколько небольших зашифрованных файлов.

+

Если систему сканировали в KVRT, Cureit или штатным антивирусом, добавьте отчеты о сканировании, в архиве, без пароля.

Есть ли понимание того, откуда мог взяться шифровальщик на устройстве?

Что то скачали из сети, чтобы открыли из почты? Что-то другое?

Если есть свежие детекты со стороны Касперского/DrWeb, что сделать:

напишите, какой детект, восстановить файл из карантина, заархивировать файл с паролем virus, и добавить архив в ваше сообщение. 

Напишите с каким именем находится файл шифровальщика.

+ вопрос:

Штатный DrWeb установлен до шифрования или после шифрования?

   1  C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwarkdaemon.exe
 

 

Изменено пользователем safety
DimNsk

DimNsk

Опубликовано
  • Автор
Опубликовано

Прикладываю лог FRST, и архив с зашифрованными файлами.

Систему сканировал после инцидента Cureit, логов нет, впрочем как и результата выявления вредоносных файлов, как будто и не было никого.

Шифровальщик мог быть откуда угодно, файлы с сети качались, почта вложения принимала, обмен по сети был, флешки использовались.

Детектов нет.

Имя шифровальщика MgHXQQFGN.

Штатный DrWeb  стоит и мониторит давно, за день до атаки обновился.

FRST.txt KAV.7z

safety

safety

Опубликовано
Опубликовано

Судя по логу шифрование началось где то в это время:

2026-03-16 01:50 - 2025-06-06 13:39 - 000000653 ____N C:\Users\****\AppData\Local\oobelibMkey.log.MgHXQQFGN

 

Покажите, пожалуйста, что в карантине ДрВеб

2026-03-13 13:48 C:\DrWeb Quarantine
 

safety

safety

Опубликовано
Опубликовано (изменено)

По очистке системы:

 

Выполнить очистку в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM-x32\...\Run: [] => [X]
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
Task: {90B9D5BB-C130-43D9-9E50-7441E87F425F} - System32\Tasks\FopxAuEJ => C:\Windows\system32\cmd.exe [289792 2025-04-21] (Microsoft Windows -> Microsoft Corporation) -> /C nslookup myip.opendns.com resolver1.opendns.com > \Windows\Temp\/kAPMal 2>&1 <==== ВНИМАНИЕ
Task: {C27EF5B1-24BB-4BBD-828E-E68034AB4F6E} - System32\Tasks\jKtGavCJ => C:\Windows\system32\cmd.exe [289792 2025-04-21] (Microsoft Windows -> Microsoft Corporation) -> /C systeminfo > \Windows\Temp\/UgvcXC 2>&1 <==== ВНИМАНИЕ
Task: {35E1C4A0-00BF-4040-94E0-A603FE0054F1} - System32\Tasks\NyujwGvQ => C:\Windows\system32\cmd.exe [289792 2025-04-21] (Microsoft Windows -> Microsoft Corporation) -> /C systeminfo > \Windows\Temp\/NEArDR 2>&1 <==== ВНИМАНИЕ
Task: {35E1C4A0-00BF-4040-94E0-A603FE0054F1} - System32\Tasks\NyujwGvQ => C:\Windows\system32\cmd.exe [289792 2025-04-21] (Microsoft Windows -> Microsoft Corporation) -> /C systeminfo > \Windows\Temp\/NEArDR 2>&1 <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk [2026-03-15]
ShortcutTarget: AnyDesk.lnk -> C:\Program Files (x86)\AnyDesk\AnyDesk.exe (AnyDesk Software GmbH -> AnyDesk Software GmbH)
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь

Изменено пользователем safety
DimNsk

DimNsk

Опубликовано
  • Автор
Опубликовано

Карантина нет... есть скринщот менеджера карантина.

image.png

safety

safety

Опубликовано
Опубликовано (изменено)

Да, вижу что подходящего детекта нет. Проверьте в логах, было ли отключение защиты в период шифрования.

+

проверьте было ли шифрование на других устройствах в ЛС.

Изменено пользователем safety
DimNsk

DimNsk

Опубликовано
  • Автор
Опубликовано

Есть ответ от ДрВэба:

шифровальщик запускался с этого ПК, из файла C:\PerfLogs\update.exe , судя по отчету, на диске его уже нет. Компоненты защиты были отключены незадолго до запуска трояна, вероятнее всего вручную: 20260316.013258.171 [7480] SpIDer Guard was deactivated - Файлы зашифрованы Trojan.Encoder.31074 (Lockbit) Расшифровка нашими силами невозможна.

 

Отключить вручную у меня возможности не было, политика доступа не позволяла.

 

Чистить 

24 минуты назад, safety сказал:

По очистке системы:

....

 

Систему обязательно чистить? в планах оставить всё вне сети как есть, потом просто новую систему установить.

safety

safety

Опубликовано
Опубликовано (изменено)
1 час назад, DimNsk сказал:

шифровальщик запускался с этого ПК, из файла C:\PerfLogs\update.exe

То что это Lockbit v3 Black не было никаких сомнений

Хорошо бы этот файл найти, возможно есть среди удаленных файлов, поищите файл среди удаленных в rsaver, getdataback, rstudio

1 час назад, DimNsk сказал:

Систему обязательно чистить? в планах оставить всё вне сети как есть, потом просто новую систему установить.

Зачистите с FRST, можно будет посмотреть что там за подозрительные задачи.

Или просто проверьте, что запускается через cmd в этих задачах 

Task: {90B9D5BB-C130-43D9-9E50-7441E87F425F} - System32\Tasks\FopxAuEJ => C:\Windows\system32\cmd.exe [289792 2025-04-21] (Microsoft Windows -> Microsoft Corporation) -> /C nslookup myip.opendns.com resolver1.opendns.com > \Windows\Temp\/kAPMal 2>&1 <==== ВНИМАНИЕ
Task: {C27EF5B1-24BB-4BBD-828E-E68034AB4F6E} - System32\Tasks\jKtGavCJ => C:\Windows\system32\cmd.exe [289792 2025-04-21] (Microsoft Windows -> Microsoft Corporation) -> /C systeminfo > \Windows\Temp\/UgvcXC 2>&1 <==== ВНИМАНИЕ
Task: {35E1C4A0-00BF-4040-94E0-A603FE0054F1} - System32\Tasks\NyujwGvQ => C:\Windows\system32\cmd.exe [289792 2025-04-21] (Microsoft Windows -> Microsoft Corporation) -> /C systeminfo > \Windows\Temp\/NEArDR 2>&1 <==== ВНИМАНИЕ
Task: {35E1C4A0-00BF-4040-94E0-A603FE0054F1} - System32\Tasks\NyujwGvQ => C:\Windows\system32\cmd.exe [289792 2025-04-21] (Microsoft Windows -> Microsoft Corporation) -> /C systeminfo > \Windows\Temp\/NEArDR 2>&1 <==== ВНИМАНИЕ
Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • FreakaFree
      Шифровальщик .8PbsCcHuo
      Автор FreakaFree
      Добрый день! Словили шифровальщик с расширением .8PbsCcHuo
      Все файлы зашифровало, есть возможность расшифровать?
    • AAS
      Зашифрованы файлы на компьютере. Вымогатель BagIRA. Расширение kRvWxoD5n
      Автор AAS
      На компьютере были зашифрованы файлы. Переписка с вымогателем и зараженные файлы (с незараженными оригиналами) в приложение. 
      Если есть возможность проанализировать шифровку и в идеале сказать как дешифровать - будем БЛАГОДАРНЫ. 
      А так на будущее, для других, что появилась новая группа мошенников - упоминание про них мы не нашли
       
      kRvWxoD5n.README.txt
      зараженные_файлы.zip
    • Yaheni
      Вымогатель BagIRA. Расширение kRvWxoD5n
      Автор Yaheni
      Вымогатель BagIRA. Расширение kRvWxoD5n

      Шифрует абсолютно все файлы, включая .exe бэкапы и БД

       
       
      kRvWxoD5n.README.txt файлы пример.7z Addition.txt FRST.txt
    • RomanNQ
      Добрый день. Словили шифровальщик с расширением .gxj5ip3z2
      Автор RomanNQ
      Прикладываю файл записки и зашифрованный файл. Прошу помочь с идентификацией шифровальщика и возможно с поиском дескриптора.   
      gxj5ip3z2.README.txt Система_контроля_передвижений_и_перемещений_docx_gxj5ip3z2.rar
    • Александр 1190
      Попал шифровальщик на сервер, зашифрованы файлы, просит выкуп CVFJIb2N.README.txt
      Автор Александр 1190
      Добрый день!
       
      16.02.2026
       
      При запуске сервера на рабочем столе отобразилось сообщение LockBit Black. All your important files are stolen and encrypted! You must find CVFJSIb2N.README.txt  и сам открылся этот файл в блокноте с содержанием:
      "Все ваши файлы зашифрованы и вы не сможете их расшифровать без нашей помощи, так как только у нас есть дешифратор и специальный ключ расшифровки". 
      Для расшифровки файлов просят оплатить услуги по расшифровке. Для получения информации ссылаются на почтовый ящик onlinedecodeallfiles@gmail.com
       
      Какой порядок действий нужно предпринять в данном случае? Как дешифровать файлы? Можно ли использовать антивирус и решит ли это проблему?
      Можно ли связаться со специалистами касперского по телефону для помощи по данному вопросу и по какому контактному номеру?
       
      Спасибо!
×
×
  • Создать...