Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Шифровальщик [cryptomafia@tuta.io]-id-DF8.wallet

boris888
 Поделиться

Рекомендуемые сообщения

boris888

boris888

Опубликовано
Опубликовано

Доброго дня!

Большая часть файлов в системе зашифрована. Провел чистку с использованием KVRT, затем CureIt.
дроппер imonset.exe+ibhost, исполняемые файлы шифровальщика сохранил отдельно. Систему, с тех пор как вручную остановил процесс шифрования, не перегружал. Готов предоставить любые логи, файлы.
Прошу профессионалов помочь с расшифровкой, надеюсь, что это возможно. Заранее Вам признателен. Жду инструкций.

С уважением,
Борис

boris888

boris888

Опубликовано
  • Автор
Опубликовано

@Sandor,  добрый день!

 

Выполнил согласно правилам сбор данных, архив в прикреплении. Обезвредил троян и его сопутствующие модули. Компьютер до сих пор не перезагружал. Опасаюсь, что уже не запущусь.

Сохранил все вычищенные вручную "остатки" трояна:

 Том в устройстве E имеет метку DATA2
 Серийный номер тома: A2E5-C3D2

 Содержимое папки E:\trojan_parts

21.12.2017  13:28    <DIR>          .
21.12.2017  13:28    <DIR>          ..
20.12.2017  04:00                68 1.bat
20.12.2017  04:00               226 1.inf
20.12.2017  16:40            59 416 8AF2F3E03BB.sys
16.12.2017  17:58             2 534 Bd1.bat
14.11.2017  15:16         4 189 696 Bd2.exe
09.12.2017  23:29           272 896 cryptomafia@tuta.io.exe
21.12.2017  13:28                 0 file_list.log
20.12.2017  16:52               692 HCKU-run.REG
20.12.2017  04:01         2 309 632 iMonSet.exe
20.12.2017  05:57            13 680 payday.hta
18.12.2017  01:11             1 789 user1.bat
21.12.2017  13:08    <DIR>          vpnplugins
              11 файлов      6 850 629 байт

 Содержимое папки E:\trojan_parts\vpnplugins

21.12.2017  13:08    <DIR>          .
21.12.2017  13:08    <DIR>          ..
21.12.2017  13:08    <DIR>          servicing
               0 файлов              0 байт

 Содержимое папки E:\trojan_parts\vpnplugins\servicing

21.12.2017  13:08    <DIR>          .
21.12.2017  13:08    <DIR>          ..
20.12.2017  04:01         2 169 344 ibhost.exe
               1 файлов      2 169 344 байт

     Всего файлов:
              12 файлов      9 019 973 байт
               8 папок  56 401 965 056 байт свободно
 

 

Что-то из этого Вам выслать?

Очень прошу помочь в расшифровке файлов. Если, это возможно.

 

 

С уважением,
Борис

CollectionLog-2017.12.21-13.32.zip

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

Пароль от RDP, через который к Вам и проникли, смените.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM-x32\...\Run: [3payday] => C:\Users\BGlebov\AppData\Roaming\payday.hta [13680 2017-12-20] ()
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [   *********T:* src='data:*********T:* src='data:*********я9* src='data:********Их *ац *шц *шх **и9*your files * (the data entry has 59 more characters).] => [X]
HKLM-x32\...\Run: [4baby] => C:\Users\BGlebov\AppData\Roaming\payday.hta [13680 2017-12-20] ()
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [   *********T:* src='data:*********T:* src='data:*********я9* src='data:********Их *ац *шц *шх **и9*your files * (the data entry has 59 more characters).] => [X]
Toolbar: HKU\S-1-5-21-109001522-2762888484-3762579527-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} -  No File
Handler: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - C:\Program Files (x86)\Microsoft Office\Office15\MSOSB.DLL No File
Filter: text/xml - {807583E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE15\MSOXMLMF.DLL No File
2017-12-20 05:32 - 2017-12-20 05:33 - 000000107 _____ C:\Program Files\! How Decrypt Files.txt
2017-12-20 04:44 - 2017-12-20 04:44 - 000000107 _____ C:\Program Files (x86)\! How Decrypt Files.txt
2017-12-20 04:15 - 2017-12-20 05:58 - 000000107 _____ C:\Users\BGlebov\AppData\Local\! How Decrypt Files.txt
2017-12-20 04:10 - 2017-12-20 05:57 - 000000107 _____ C:\Users\BGlebov\Desktop\! How Decrypt Files.txt
2017-12-20 04:10 - 2017-12-20 05:57 - 000000107 _____ C:\Users\BGlebov\AppData\Roaming\! How Decrypt Files.txt
2017-12-20 04:09 - 2017-12-20 05:57 - 000000107 _____ C:\Users\Public\Documents\! How Decrypt Files.txt
2017-12-20 04:09 - 2017-12-20 05:57 - 000000107 _____ C:\Users\Public\Desktop\! How Decrypt Files.txt
2017-12-20 04:09 - 2017-12-20 05:57 - 000000107 _____ C:\Users\postgres\Documents\! How Decrypt Files.txt
2017-12-20 04:09 - 2017-12-20 05:57 - 000000107 _____ C:\Users\postgres\AppData\Local\! How Decrypt Files.txt
2017-12-20 04:09 - 2017-12-20 05:57 - 000000107 _____ C:\Users\postgres\! How Decrypt Files.txt
2017-12-20 04:09 - 2017-12-20 05:57 - 000000107 _____ C:\Users\Default\Documents\! How Decrypt Files.txt
2017-12-20 04:09 - 2017-12-20 05:57 - 000000107 _____ C:\Users\Default\AppData\Local\! How Decrypt Files.txt
2017-12-20 04:09 - 2017-12-20 05:57 - 000000107 _____ C:\Users\Default\! How Decrypt Files.txt
2017-12-20 04:09 - 2017-12-20 05:57 - 000000107 _____ C:\Users\BGlebov\Documents\! How Decrypt Files.txt
2017-12-20 04:09 - 2017-12-20 05:57 - 000000107 _____ C:\Users\BGlebov\! How Decrypt Files.txt
2017-12-20 04:09 - 2017-12-20 05:57 - 000000107 _____ C:\Users\! How Decrypt Files.txt
2017-12-20 04:09 - 2017-12-20 04:10 - 000000107 _____ C:\Users\BGlebov\Downloads\! How Decrypt Files.txt
2017-12-20 04:09 - 2017-12-20 04:09 - 000000107 _____ C:\Users\Public\Downloads\! How Decrypt Files.txt
2017-12-20 04:09 - 2017-12-20 04:09 - 000000107 _____ C:\Users\Public\! How Decrypt Files.txt
2017-12-20 04:01 - 2017-12-20 05:57 - 000013680 _____ C:\Users\BGlebov\AppData\Roaming\payday.hta
2017-12-20 04:01 - 2017-12-20 05:57 - 000000107 _____ C:\Users\Все пользователи\! How Decrypt Files.txt
2017-12-20 04:01 - 2017-12-20 05:57 - 000000107 _____ C:\ProgramData\! How Decrypt Files.txt
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
  • Согласен 1
  • 2 месяца спустя...
boris888

boris888

Опубликовано
  • Автор
Опубликовано

@thyrex,

Доброго дня!

 

Сегодня удалось расшифровать част файлов. Пока только системные, диск С.

 

Thyrex, благодарю Вас за помощь! Сейчас хочу убедиться, что на машине нет активной заразы. Затем продолжу расшифровку.

Сделал все то, что Вы советовали на предыдущих шагах. Прикрепляю файлы.

И ожидаю Ваших инструкций или выводов.

Пароль РДП сменил. В ближайшее время прикрою совсем, буду пользоваться ВПН.

 

С уважением,

Борис

 

 

 

 

Addition.txt

fixlist.txt

Fixlog.txt

FRST.txt

thyrex

thyrex

Опубликовано
Опубликовано

Чистка мусора завершена. Больше помочь нечем

  • Согласен 1
boris888

boris888

Опубликовано
  • Автор
Опубликовано

Спасибо!

Тем не менее, вчера обнаружил еще интересную вещь. Создав вручную папку Soft обнаружил тут же, на глазах, несколько созданных файлов *.wallet  (в наименовании присутствовало cryptomafia@tuta.io). В двух браузерах IE и FF были трояны. DrWeb CureIt их не видел(выполнил полную проверку единственного тома). KVRT падал при запуске. Удалось их обнаружить и удалить только в безопасном режиме.

Если возможно, прокомментируйте. Либо для Вашего опыта.

 

С уважением,

Борис

boris888

boris888

Опубликовано
  • Автор
Опубликовано

Лог MBAM прикрепил. Вижу, что он нашел 3 malware. Тем не менее, ничего не предпринимал. Жду Ваших инструкций.

Заодно прикрепил вчерашний вредонос, троян в архиве, пароль 123.

 

С уважением,

Борис

 

 

mlwb-log21032018.txt

boris888

boris888

Опубликовано
  • Автор
Опубликовано

Не готов ждать 3-й день ответа.

В любом случае спасибо за помощь!

 

С уважением,

Борис

thyrex

thyrex

Опубликовано
Опубликовано

Ничего плохого в логе. МВАМ можно удалить.

 

Создав вручную папку Soft обнаружил тут же, на глазах, несколько созданных файлов *.wallet  (в наименовании присутствовало cryptomafia@tuta.io)

В пустой папке создались файлы? Это невозможно. Если же Вы скопировали туда файлы и они зашифровались, то ищите проблему на другой машине, имеющей доступ к данному компьютеру.
boris888

boris888

Опубликовано
  • Автор
Опубликовано

 Суть в том, что на машине был  тот самый троян, прикрепленный к предыдущему письму: browser-safety[1].exe В этом виде троян был прикреплен к IE как надстройка. В другом виде он же, но для FF был в виде кеш файла (здесь набор шестнадцатеричных  символов, лога нет, но могу выложить полный кеш с инфицированным файлом).

В тот момент, когда создавал папку Soft, оба браузера были активны. Делаю из этого вывод (согласен, что неоднозначный вывод), что сие есть результат активности браузеров и, соответственно, одного из экземпляров троянов.

 

Тоже считал, что во вновь созданной, ПУСТОЙ папке невозможно, но это произошло. А это означает только одно: троян был активен в этот момент. Это факт, остальное - исследования и гипотезы.

Других машин нет. Вернее есть ноут, но он был выключен в этот момент (у меня была мысль о стороннем дотсупе по сети). К тому же, никакого МС шаринга к вновь созданной, пустой папке не было извне.

Могу, конечно, форматнуть всю систему и забыть об инциденте, но мне самому интересно разобраться с ситуацией.

 

 

С уважением,

Борис

thyrex

thyrex

Опубликовано
Опубликовано

Вирусы-шифраторы не шифруют воздух, превращая его в файлы.

 

Указанный файл - это загрузчик и не более.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • st0rk
      Шифровальщик denied@india.com
      Автор st0rk
      Добрый день. Сканировал Kaspersky Virus Removal Tool, нашло и удалило 4 штуки __new__.exe в разных местах Trojan-Ransom.Win32.Cryptor.fs
      Зашифровало все файлы как Имя.[stopper@india.com].wallet
      autologger отчет прилагаю, делал с безопасного режима, обычным способом не входит 
      в архиве по 2 файла - зараженный и нет, может поможет понять как их расшифровать...
      Очень надеюсь на Вашу помощь.
      files.zip
      CollectionLog-2016.12.21-18.16.zip
    • Klimat72
      Зашифрованы файлы шифровальщиком denied@india.com
      Автор Klimat72
      Процесс шифровки не был завершен , обнаружен файл видимо шифровальщика - во вложении. Антивирус КИС, теневое копирование находились в отключенном состоянии. Автоматически логи собрать затруднительно, так как по rdp. При сканировании КИС-ом обнаружен троян:
      20.12.2016 10.52.34;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\denied.exe;C:\Users\ksusha\AppData\Roaming\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:52:34
      20.12.2016 10.27.55;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:27:55
       
      Прикрепляю архив с трояном, возможно сможете помочь с расщифровкой.
      FRST.txt 
       
      Спасибо.
    • Alsus
      Зашифровано payday
      Автор Alsus
      При включении сервера зашифровались все файлы ( несистемные) .  Комп не перезагружали, сохранился скрипт, и программа шифровальщик. Высылаю логи, программу и скрипт, и зашифрованый файл
      CollectionLog-2017.11.16-12.57.zip
      Договор водоснаб населения.doc.helper05@cock.li-id-1080.rar
    • SplunE
      шифровальщик wallet
      Автор SplunE
      17.10 были зашифрованы файлы на шаре расширение .VYA.id-6A9C866D.[3048664056@qq.com].wallet
      Пробовали RakhniDecryptor, он файлы "расшифровал", но они остались в виде имя_файла.VYA, не открываются, соответственно... 
      Можете помочь в "дорасшифровке"?
      Теневые копии не велись. Бекап был создан, похоже, в момент шифрования, т.к. там тоже имя_файла.VYA. К сожалению бекапили на сетевой ресурс, т.е. архив перезаписываемый.
       
      тело вымогателя:
      тыц:
       
      CollectionLog-2017.10.19-20.09.zip
    • Diocese
      Вирус шифровальщик
      Автор Diocese
      Как лечить?
      CollectionLog-2017.10.16-10.53.zip
×
×
  • Создать...