Перейти к содержанию

Шифровщик. Файлы. Формат *.damage.

Alekskey
 Share Подписчики 1

Рекомендуемые сообщения

Alekskey

Alekskey 0

Опубликовано
Опубликовано

Приветствую!

 

Обнаружил у себя на ПК, что все файлы зашифровались в формат *.damage 

Очень много фажных документов. Утилиты с сайта не помогли. 

Неясна причина возникновения шифровальщика. За данным ПК активно никто не работает, единственное что в сеть проброшен доступ rdp, но с изменённым номером порта.

CollectionLog-2017.02.21-17.52.zip

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1356

Опубликовано
Опубликовано

Образцы шифрованных файлов (лучше файлы doc или docx) выложите на обменник без капчи и времени ожидания и пришлите ссылку на скачивание

 

+ Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты
Alekskey

Alekskey 0

Опубликовано
  • Автор
Опубликовано (изменено)

Спасибо за оперативность.

 

Вот ссылка на файлы формата doc и docx

https://yadi.sk/d/HV46sE8o3EM3Dw

https://yadi.sk/d/f7fz6P-F3EM38t

 

Отчёты прикреплены к сообщению.

FRST.zip

Изменено пользователем Alekskey
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1356

Опубликовано
Опубликовано

Скорее всего машина пострадала по сети. Потому как здесь нет намека на сообщение вымогателей, а потому трудно соотнести с каким-то семейством. В конце файлов что-то похожее на ключ, причем визуально одинаковый. Нужно тело вируса пробовать искать

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1356

Опубликовано
Опубликовано

К сожалению, пока не помогло и это идентификации. Отправил вопрос иностранным вирусоборцам

 

Вопросы:

1. Вы из Санкт-Петербурга или это оттуда был вход?

Error: (02/21/2017 06:20:43 PM) (Source: TermDD) (EventID: 56) (User: )

Description: Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент.

IP-адрес клиента: 188.134.70.228.

 

Error: (02/21/2017 05:48:17 PM) (Source: TermDD) (EventID: 56) (User: )

Description: Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент.

IP-адрес клиента: 188.134.70.228.

2. Учетная запись C:\Users\Администратор.TPSRV010 Вам известна?

Ссылка на сообщение
Поделиться на другие сайты
Alekskey

Alekskey 0

Опубликовано
  • Автор
Опубликовано

Да, из Питера. IP 188.134.70.228  это нормальный адрес. Адрес центрального сервера.

Учетная запись C:\Users\Администратор.TPSRV010 не известна. Работа идёт из-под другой записи.

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1356

Опубликовано
Опубликовано
Администратор (S-1-5-21-4290617266-3126799162-502184550-500 - Administrator - Enabled) => C:\Users\Администратор.TPSRV010.000

 

Ну значит из нее и работали. Попробуйте сделать логи из под этой учетки. В том числе и лог FRST.txt 

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1356

Опубликовано
Опубликовано

Скачайте https://t.co/m2SQQZ84Xpи запустите от имени Администратора по правой кнорке мыши.

Выберите путь для сканирования C:\Users\Администратор.TPSRV010.000

В окне Option отметьте все доступные элементы, в oкне FileType выберите HTML

Нажмите Make List, заархивируйте полученный файл, выложите на Яндекс диск и пришлите ссылку

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1356

Опубликовано
Опубликовано

Теперь просканируйте C:\Users\Администратор.TPSRV010\AppData

 

Visual Studio 2010 устанавливали когда-нибудь на этом компьютере?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • LamerMan
      Помощь с расшифровкой Elbie Ransomware
      От LamerMan
      Здравствуйте, 04.10.2022 на комп попал вирус-шифровальщик Elbie Ransomware, все файлы стали с расширением .lnk.id[E2638681-3398].[helprequest@techmail.info].Elbie
      Обратились в компанию по расшифровке, сказали цену 250 тыс. рублей. Сотрудник подключился удаленно и просканировал систему, оставив за собой софт(приложу во вложения)
      На момент заражения был открыт порт 3389 и настроено рдп с несложными паролями, на компе стоял Kaspersky Free (AVP21.3), есть предположение, что злоумышленник ботнетом пинговал айпишники с к классическими портами, затем забрутфорсил пароль
      Программа сотрудника аутсорс компании сканирует файлы, а затем выдает какой-то код, я так и не разобрался что с ним делать, он сказал что этим кодом пишется дешифратор. Так же там есть .exe программа, в которой ей кнопка decrypt, но она требует какой-то ключ, надеюсь, найдется человек, который сможет с этим разобраться
      Elbie Decrypt.zip
    • Spoke
      Помощь в разблокировке файлов шифровальщика
      От Spoke
      Вчера обнаружил у себя на компьютере зашифрованные файлы, записку с требованиями вымогателей [belgorod8712kozos@airmail.cc]
      Логи прикладываю, в архиве записка и примеры файлов
      Archive.rarAddition.txtFRST.txt
    • Legossi
      вирус-шифровальщик [5ops1rt3@tuta.io].LIZARD
      От Legossi
      Поймали вирус-шифровальщик [5ops1rt3@tuta.io].LIZARD
      Сканировал систему из под LiveUSB. KVRT при запуске выдал ошибку драйвера, drWeb CureIt запустился, обнаружил троянов, все были перемещены. Есть ли шанс восстановить данные?
      info.txt
    • klastercomp
      Зашифровались файлы в .ICQ@PIZZASUCKER
      От klastercomp
      Здравствуйте. На компьютере зашифровались все файлы в .ICQ@PIZZASUCKER. Просьба помочь в расшифровке. Логи и зашифрованные файлы в архиве
      отчет касперского.txt FRST.txt Addition.txt virus.zip
    • Vitaly9367
      Шифровальщик. [Raptorfiles@yahooweb.co].[AB3F62F5-F38B2CA6]
      От Vitaly9367
      Доброго времени суток. 

      После открытия RDP порта, буквально через сутки-полтора подвергся атаке шифровальщика. Шифровальщик забрался на два сервера и убил порядочное кол-во файлов.
      Существует ли расшифровка? Если нет, то можно как то подчистить за ним реестр и мусор удалить его? Буду благодарен. 

      Прикрепляю данные с двух серверов.
      Addition-1.txt Addition-2.txt FRST-1.txt FRST-2.txt virus-1.zip virus-2.zip
×
×
  • Создать...