Перейти к содержанию

Вирус-шифровальщик excaliburarthur@protonmail.com

Monmak25
 Поделиться

Рекомендуемые сообщения

Monmak25

Monmak25

Опубликовано
Опубликовано

Всем доброго времени суток!

 

Не успел я расшифровать файлы от вируса zeman@tutanota.de (естественно, с помощью специалистов этого форума), как тут же не успел защитить их от нового шифровальщика (кто-то открыл какое-то письмо).

 

Второй email в сообщении: symbyosis@protonmail.com.

 

Проверил KVRT - чисто.

Запустил FRST и Autologger - собрал нужные логи.

 

Также в корне расшаренной папки на другом компьютере среди зашифрованных файлов нашел файл формата .key, которого раньше не было. Правда, ни в какой кодировке он у меня не принял читабельный вид.

 

Кроме этого, в приложенном архиве зашифрованный файл и readme.txt с PID.

 

 

Прошу помощи с расшифровкой.

406.rar

thyrex

thyrex

Опубликовано
Опубликовано
C:\Users\Admin\AppData\Local\Temp\system.exe

C:\Users\Admin\AppData\Local\Temp\system.exe

C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Temp\system.exe

 

+ любой из этих файлов заархивируйте с паролем virus, выложите на sendspace.com и пришлите ссылку на скачивание мне в ЛИЧНЫЕ СООБЩЕНИЯ

thyrex

thyrex

Опубликовано
Опубликовано

Присланный архив - это майнер.

 

А вообще компьютер не первый раз подвергается атаке шифраторов. Значит с элементарной информационной безопасностью совсем беда. Пароль от RDP смените для начала.

В этот раз расшифровки не будет, увы. Подобрать ключ уже невозможно. А там их тем более уже два, в зависимости от размера шифруемого файла.

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Temp\system.exe');
 QuarantineFile('C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Temp\system.exe','');
 QuarantineFile('C:\Users\Admin\AppData\Local\Temp\system.exe','');
 TerminateProcessByName('C:\Users\Admin\AppData\Local\Temp\system.exe');
 DeleteFile('C:\Users\Admin\AppData\Local\Temp\system.exe','32');
 DeleteFile('C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Temp\system.exe','32');
 DeleteFile('C:\Windows\system32\drivers\49170864.sys','64');
 DeleteFile('C:\Windows\system32\drivers\E3A0A32A.sys','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','IBGLIBOLIBGLIBO');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','POBELGBMLOBELGB');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','IBGLEBOLMBGLEBO');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

Monmak25

Monmak25

Опубликовано
  • Автор
Опубликовано

По поводу "Значит с элементарной информационной безопасностью совсем беда." - пароли всех учетных записей и порт для RDP на маршрутизаторе меняются регулярно. За три предыдущие года не было не одного заражения.

Поэтому не надо учить меня делать мою работу. Если сотрудник открывает любые письма без оглядки на безопасность компьютера и локальной сети, я не собираюсь стоять у него за спиной и бить по рукам каждый раз, когда он соберется сделать глупость - это не входит в мои должностные обязанности.

 

По поводу "В этот раз расшифровки не будет, увы." - какой смысл избавляться от этого вируса, если это ни к чему не приведет?

Получить еле живую операционную систему с кучей зашифрованных файлов.

thyrex

thyrex

Опубликовано
Опубликовано

Заражение через открытие ссылки (или вложения) в данном случае как раз и не было. Если я пишу про RDP, значит, для этого есть основания.

Или может Вы сумеете мне рассказать, как может пропасть с Рабочего стола временный файл с ключами для шифрования при условии, что он не удаляется и не отсылается злодеям?

Даже если он и шифруется, то как по Вашему злодеи его расшифруют не имея ключей, которые генерируются сразу после запуска?

 

какой смысл избавляться от этого вируса, если это ни к чему не приведет?

Вы в названии раздела, куда обратились, видите фразу "Помощь в расшифровке"?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Vich
      имена файлов зашифрованны something_ne@india.com_(id)
      Автор Vich
      после выходных на рабочем компьютере, который остался включенным увидел что имена файлов приобрели вид:
       
      something_ne@india.com_73657475702E696E69
       
      на рабочем столе и в каждой папке присутствует файл:
       
      HOW DECRIPT FILES.hta
       
      Прочтя соседнюю тему воспользовался утилитой FRST64.
       
      В прикрепленном addition, frst
       
      Окажите помощь, в расшифровке.....
      ransom.7z
    • vinny_b
      Шифровальщик-вымогатель биткоинов (something_ne@india.com)
      Автор vinny_b
      Товарищ на работе словил вышеуказанного зловреда.
      Просят 0,7 биткоинов: требования:
       
       
      Штатным Kaspersky Small Office был обнаружен и помещен в карантин единственный зашифрованный файл в папке "C:\Confused\folder". (архив virus.zip, пароль "virus").
      CollectionLog-2017.02.28-03.38.zip
    • xander21
      Файлы зашифрованы uncrypte@india.com
      Автор xander21
      К сожалению, не получается расшифровать. Программа пропускает файлы. Вот лог:
      41EC4F072318644D3074FF skipped
      [-] File: C:\Users\Alexander\Desktop\scrot\DeleteProcess_new\uncrypte@india.com_6D94D9F33AF40A8098EAC9AC0A30FE57A3E0D6EB17DFFEB9DF109F303AF17858 skipped
      [-] File: C:\Users\Alexander\Desktop\scrot\DeleteProcess_new\uncrypte@india.com_8AF2E4BF1FFA56424B652F903338539EB8A6C0604C6259BCB1493EE77A493EB2 skipped
      [-] File: C:\Users\Alexander\Desktop\scrot\DeleteProcess_new\uncrypte@india.com_C21DC898EF12E9196792FA977AB7DE74 skipped
      [-] File: C:\Users\Alexander\Desktop\scrot\DeleteProcess_new\uncrypte@india.com_EEC76F7A1D7184C287D23999B88E19527E8419C66FBDFD2DCD858A145D909E26 skipped
       
      Successfully decrypted 0 files!
       
      Skipped 5 files
       

      Сообщение от модератора thyrex Выделено из темы https://forum.kasperskyclub.ru/index.php?showtopic=54305
    • ilk006
      Шифратор с почтой kares@keemail.me
      Автор ilk006
      Добрый день!
      Шифровальщик с обратной почтой зашифровал почти все на компьютере и сетевом хранилище.
       
      README.txt следующего содержания:
       
      Содержание README.txt:
        Логи приложить не могу т.к. компьютер-источник не загружается и восстанавливать я его не собираюсь. Или нужно как-то попытаться запустить компьютер для сборки логов и проверки с помощью FRST?   Способ заражения пока неизвестен, предположительно с рабочей флешки жены.   Стоит ли надеяться и искать способы расшифровки или безнадежно?    
    • rrustam
      Заражение файлов на сервере
      Автор rrustam
      Добрый день, утром вышли на работу и увидели в общей папке на сервере преобразованные файлы
       
      в следующем формате "D0A0D0B5D0B5D181D182D18020D0BDD0B5D0B2D0B5D180D0BDD0BE20D0BED184D0BED180D0BCD0BBD0B5D0BDD0BDD18BD18520D0B820D0BED182D181D183D182D181D0B2D183D18ED189D0B8D18520D09FD0945FD09ED091D0A0D090D097D095D0A62E786C7378" это название файла и без расширения.
      Вот текст письма вымогателей
       "Your files are encrypted!
      YOUR PERSONAL ID  4OkaB2XymdtH5Yf0156q9Ii0YWLze9OWSXcH4MwY --------------------------------------------------------------------------------- Discovered a serious vulnerability in your network security. No data was stolen and no one will be able to do it while they are encrypted. For you we have automatic decryptor and instructions for remediation. For instructions, write to us on one of our mails  MotokoKusanagi@tutamail.com  or  ShotaroKaneda@tutanota.de --------------------------------------------------------------------------------- You will receive automatic decryptor and all files will be restored --------------------------------------------------------------------------------- * To be sure in getting the decryption, you can send one file(less than 10MB) to MotokoKusanagi@tutamail.com  or ShotaroKaneda@tutanota.de In the letter include your personal ID(look at the beginning of this document). Attention! Attempts to self-decrypting files will result in the loss of your data Decoders other users are not compatible with your data, because each user's unique encryption key"   Масштаб бедствия огромный, жду ответа  CollectionLog-2018.12.14-10.00.zip
×
×
  • Создать...