Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Шифровальщик, расширение .du1732, email вымогателей dumdos@ya.ru

Alx_trvkn
 Поделиться

Рекомендуемые сообщения

Alx_trvkn Новичок

Alx_trvkn

Опубликовано
Опубликовано

Добрый день. Сервер словил вирус дважды: первый раз файлы были зашифрованы на съемном носителе, подключенным к серверу, скорее всего кто-то из двух пользователей, имеющих доступ, запустил его через вложение в почте.

Удалив его антивирусом, не стал заморачиваться с дешифровкой, тк зараженные файлы были не нужны. Кстати, шифрование/email вымогателя отличались от вторичного заражения

 

Второе заражение произошло вчера, в этот раз уже были зашифрованы файлы на основном диске. Просмотр журнала показал, что был создан пользователь с правами админа, через него был выполнен вход, использовалась утилита PsExec, с помощью которой выполнялись нужные команды, в тч деинсталляция антивируса, и тп... Пользователя этого я уже удалил, а вот PsExec была удалена самими злоумышленниками после запуска шифровальщика.

 

Согласно порядка оформления заявки, скачал и выполнил проверку KVRT, запустил сборщик логов. Прилагаю архив с логами а также файл с адресом вымогателей.

Для доступа на сервер для сбора логов я использовал приложение Teamviewer

 

Буду рад любой помощи,

С уважением,

Александр 

CollectionLog-2017.05.06-13.57.zip

КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Образцы зашифрованных doc или docx файлов пришлите в архиве.

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\7272~1\AppData\Local\Temp\mvQjSRNiy6t8YC3.exe','');
 QuarantineFile('c:\windows\syswow64\radiance\wizard.exe','');
 TerminateProcessByName('C:\Windows\SysWOW64\Resident\wahiver.exe');
 QuarantineFile('C:\Windows\SysWOW64\Resident\wahiver.exe','');
 DeleteFile('C:\Windows\SysWOW64\Resident\wahiver.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Alcmeter','command');
 DeleteFile('C:\Users\7272~1\AppData\Local\Temp\mvQjSRNiy6t8YC3.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • DAV
      программа вымогатель
      Автор DAV
      в пятницу лег сервер: зашифрованы все системные файлы и вся база 1С. Также файлы на зеркальном диске, а бэкапы на другом диске почему-то оказались повреждены (копировались каждый вечер).
      в закодированном файле текст в таких иероглифах: "... ৸믻䀹ᑞஞ樱惒孌ڨ쎩델꥛睟괎䦝捰㨿秡﹈贆Ŵ䣍㥶﬍ຌ̒螐꯵ॶㅈ鹧ӷ፮箈ꥦ 樟倣폃웘붾셳炼..."
      один из файлов 1С теперь с таким названием: 1Cv8.lgf.id-DEB1FBBC.[James2020m@aol.com].MUST.id[DEB1FBBC-3259].[restore1_helper@gmx.de].
       
      кто знает, как вернуться к "родной" кодировке, подскажите, пожалуйста.
       
      P.S. "доброжелатели" в сопутствующем info письме указали адреса для контакта: restore1_helper@gmx.de или restore2_helper@mein.gmx.
    • norma.ekb
      Шифровальщик-вымогатель .FONL
      Автор norma.ekb
      Добрый день.
      Открыли архив, полученный по почте и после этого все файлы на ПК  изменились на тип FONL. Прошу помочь с расшифровкой.
      Файл шифровальщик сохранен (из полученного архива). 
      Файлы для примера и сообщение вымогателей .rar FRST.rar
    • Tetradb
      Шифровальщик с расширением [johnhelper123@gmx.de].decrypt
      Автор Tetradb
      Здравствуйте.
      Зашифровались все файлы, прошу помощи по расшифровке файлов если есть возможно.
      29.11.2022.rar
    • Antchernov
      Шифровальщик-вымогатель C77L ZerSrv@mail2tor.co
      Автор Antchernov
      Здравствуйте. Словили шифровальщик через RDP, файл шифровальщика удалось найти на рабочем столе учетки Администратора. Зашифровать успел не все, но важным документам и базам 1С досталось. Осложняется все тем, что админ приходящий и он в текущей ситуации стал "очень занят". Прошу помочь с лечением системы и по возможности с расшифровкой, т.к. неизвестно есть ли бэкапы. Систему не лечили никак, логи FRST, зашифрованные фалы и записку прилагаю. Есть нешифрованные версии некоторых файлов, если понадобятся. 
      Addition.txt FRST.txt Zersrv.zip
    • Always_Young
      Шифровальщик вымогатель. Расширение .y8ItHTbGJ
      Автор Always_Young
      Здравствуйте! На ПК пришло письмо с файлом с раширением .cab. Файл находится в облаке. Скрин проверки с VirusTotal прилагается. После этого все документы JPEG, JPG,PDF,XLSX,DOCX оказались зашифрованы. Доступ на ПК осуществлялся удаленно, через AnyDesk. В сети три ПК и один ноутбук по Wi-Fi. Заражен оказался один. Есть ли возможность расшифровать? 

      Addition.txt FRST.txt y8ItHTbGJ.README.txt Файлы шифр.zip
×
×
  • Создать...