Вирус шифровальщик szems@tutanota.com

24 мая, 2018

Здравствуйте!

На компьютере, похоже через rdp, запустился вирус шифратор, при этом исполняемый файл, находился на другом компьютере в открытой сетевой папке (сохранен).

Есть ли возможность расшифровать файлы?

FRST.ZIP

CollectionLog-2018.05.24-19.40.zip

Изменено 24 мая, 2018 пользователем Voventys

24 мая, 2018

Файл README.hta с сообщением вымогателей для связи и пример зашифрованного файла прикрепите в архиве к следующему сообщению

24 мая, 2018

Прикрепил, зашифрован предположительно документ MS Word.

README.zip

szems@tutanota.zip

24 мая, 2018

Попробуйте поискать на Рабочем столе одного из пользователей (скорее всего того, пароль к которому подобрали) файл 5WWAPYMS8FZVV67AGLH1S603XJCCS46ZI6FCJ4Q3-lan.txt и если найдется, прикрепите к сообщению

24 мая, 2018

К сожалению ничего подобного найти не удалось. Искал по маске *lan.txt и *5WWAPY* на рабочем столе взломанного пользователя только 3 зашифрованных файла, один из которых ранее был прислан. Стоит отметить, что приложение было мною завершено из диспетчера задач. А шифрование закончилось когда я вынул сетевые провода(RJ45) из сетевого хранилища которое в тот момент вирус шифровал.. далее был обнаружен комп и приложение, запущенное от одного из пользователей, которое уже без признаков активности висело в процессах.

24 мая, 2018

Тогда придется подождать, пока удастся подобрать ключ

24 мая, 2018

А ждать сколько примерно? день, месяц, год? )

24 мая, 2018

Если повезет, завтра все получите

25 мая, 2018

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\Documents\README.hta
2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Roaming\README.hta

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Roaming\Microsoft\Windows\Start Menu\README.hta

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.hta

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\LocalLow\README.hta

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Local\Temp\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Все пользователи\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Volkov\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Volkov\Desktop\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Volkov\AppData\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Public\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Public\Downloads\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Public\Documents\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\ProgramData\README.hta

Все эти файлы запакуйте и пришлите

На компьютере, похоже через rdp, запустился вирус шифратор, при этом исполняемый файл, находился на другом компьютере в открытой сетевой папке

Предыдущий файл README.hta присылали с компьютера, на котором был найден исполняемый файл? Если нет, то его тоже пришлите. Там же стоит поискать и текстовый файл, о котором я спрашивал ранее

25 мая, 2018

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\Documents\README.hta
2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Roaming\README.hta

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Roaming\Microsoft\Windows\Start Menu\README.hta

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.hta

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\LocalLow\README.hta

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Local\Temp\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Все пользователи\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Volkov\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Volkov\Desktop\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Volkov\AppData\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Public\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Public\Downloads\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Public\Documents\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\ProgramData\README.hta

Все эти файлы запакуйте и пришлите

На компьютере, похоже через rdp, запустился вирус шифратор, при этом исполняемый файл, находился на другом компьютере в открытой сетевой папке

Предыдущий файл README.hta присылали с компьютера, на котором был найден исполняемый файл? Если нет, то его тоже пришлите. Там же стоит поискать и текстовый файл, о котором я спрашивал ранее

Прикрепил. Первый ридми был с третьего компьютера куда на открытые сетевые папки вирус заходил и шифровал файлы. На всех упомянутых компьютерах файла *lan.txt не нашлось

sbor.zip

25 мая, 2018

Ну вот и нашелся в файлах другой ID. Ожидайте

25 мая, 2018

Проверьте ЛС

25 мая, 2018

Итоги - 98 локальных файлов расшифровалось, и ни одного с трех других машин. Точнее пока ни одного так как на четвертой машине (а точнее сетевой накопитель) огромное количество файлов, из них примерно 60-70 процентов успело зашифроваться. Дешифровщик, натравлен на эту папку, но пока ничего. Правда есть редкие файлы которые вроде как дешифрованы, но они не открываются.

прикрепляю логи декриптора ( до попытки расшифровать сетевой накопитель, но с пробами файлов с других машин)

1 архив локальная машина (почти все расшифровано)

2 архив сетевая папка (не расшифровывается)

3 архив откуда первый ридми (ничего критичного нет)

4 архив сетевой накопитель (много нужных файлов, пока никто не дешифровался)

CryptConsoleDecrypter.zip

Изменено 25 мая, 2018 пользователем Voventys

26 мая, 2018

Примеры файлов с каждой из этих машин тоже пришлите отдельными архивами. Продолжим завтра.

27 мая, 2018

Соответствуют номерам архивов с ридми.

Вирус шифровальщик szems@tutanota.com

Рекомендуемые сообщения

Voventys

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Voventys

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Voventys

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Voventys

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Voventys

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Voventys

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Voventys

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum