Перейти к содержанию

Вирус шифровальщик szems@tutanota.com


Рекомендуемые сообщения

Здравствуйте! 

На компьютере, похоже через rdp, запустился вирус шифратор, при этом исполняемый файл, находился на другом компьютере в открытой сетевой папке (сохранен).

Есть ли возможность расшифровать файлы?

FRST.ZIP

CollectionLog-2018.05.24-19.40.zip

Изменено пользователем Voventys
Ссылка на сообщение
Поделиться на другие сайты

Файл README.hta с сообщением вымогателей для связи и пример зашифрованного файла прикрепите в архиве к следующему сообщению

Ссылка на сообщение
Поделиться на другие сайты

Попробуйте поискать на Рабочем столе одного из пользователей (скорее всего того, пароль к которому подобрали) файл 5WWAPYMS8FZVV67AGLH1S603XJCCS46ZI6FCJ4Q3-lan.txt и если найдется, прикрепите к сообщению

Ссылка на сообщение
Поделиться на другие сайты

К сожалению ничего подобного найти не удалось. Искал по маске *lan.txt и *5WWAPY* на рабочем столе взломанного пользователя только 3 зашифрованных файла, один из которых ранее был прислан. Стоит отметить, что приложение было мною завершено из диспетчера задач. А шифрование закончилось когда я вынул сетевые провода(RJ45) из сетевого хранилища которое в тот момент вирус шифровал.. далее был обнаружен комп и приложение, запущенное от одного из пользователей, которое уже без признаков активности висело в процессах.

Ссылка на сообщение
Поделиться на другие сайты
2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\Documents\README.hta

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Roaming\README.hta

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Roaming\Microsoft\Windows\Start Menu\README.hta

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.hta

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\LocalLow\README.hta

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Local\Temp\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Все пользователи\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Volkov\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Volkov\Desktop\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Volkov\AppData\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Public\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Public\Downloads\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Public\Documents\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\ProgramData\README.hta

 

Все эти файлы запакуйте и пришлите

 

На компьютере, похоже через rdp, запустился вирус шифратор, при этом исполняемый файл, находился на другом компьютере в открытой сетевой папке

 

Предыдущий файл README.hta присылали с компьютера, на котором был найден исполняемый файл? Если нет, то его тоже пришлите. Там же стоит поискать и текстовый файл, о котором я спрашивал ранее

Ссылка на сообщение
Поделиться на другие сайты

 

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\Documents\README.hta

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Roaming\README.hta

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Roaming\Microsoft\Windows\Start Menu\README.hta

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.hta

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\LocalLow\README.hta

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Local\Temp\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Все пользователи\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Volkov\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Volkov\Desktop\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Volkov\AppData\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Public\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Public\Downloads\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Public\Documents\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\ProgramData\README.hta

 

Все эти файлы запакуйте и пришлите

 

На компьютере, похоже через rdp, запустился вирус шифратор, при этом исполняемый файл, находился на другом компьютере в открытой сетевой папке

 

Предыдущий файл README.hta присылали с компьютера, на котором был найден исполняемый файл? Если нет, то его тоже пришлите. Там же стоит поискать и текстовый файл, о котором я спрашивал ранее

 

 

Прикрепил. Первый ридми был с третьего компьютера куда на открытые сетевые папки вирус заходил и шифровал файлы. На всех упомянутых компьютерах файла *lan.txt не нашлось

sbor.zip

Ссылка на сообщение
Поделиться на другие сайты

Итоги - 98 локальных файлов расшифровалось, и ни одного с трех других машин. Точнее пока ни одного так как на четвертой машине (а точнее сетевой накопитель) огромное количество файлов, из них примерно 60-70 процентов успело зашифроваться. Дешифровщик, натравлен на эту папку, но пока ничего. Правда есть редкие файлы которые вроде как дешифрованы, но они не открываются.

прикрепляю логи декриптора ( до попытки расшифровать сетевой накопитель, но с пробами файлов с других машин)

1 архив локальная машина (почти все расшифровано)

2 архив сетевая папка (не расшифровывается)

3 архив откуда первый ридми (ничего критичного нет)

4 архив сетевой накопитель (много нужных файлов, пока никто не дешифровался)

CryptConsoleDecrypter.zip

send1.zip

send2.zip

send3.zip

send4.zip

Изменено пользователем Voventys
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...