Перейти к содержанию

Вирус-шифровальщик excaliburarthur@protonmail.com

Monmak25
 Поделиться

Рекомендуемые сообщения

Monmak25

Monmak25

Опубликовано
Опубликовано

Всем доброго времени суток!

 

Не успел я расшифровать файлы от вируса zeman@tutanota.de (естественно, с помощью специалистов этого форума), как тут же не успел защитить их от нового шифровальщика (кто-то открыл какое-то письмо).

 

Второй email в сообщении: symbyosis@protonmail.com.

 

Проверил KVRT - чисто.

Запустил FRST и Autologger - собрал нужные логи.

 

Также в корне расшаренной папки на другом компьютере среди зашифрованных файлов нашел файл формата .key, которого раньше не было. Правда, ни в какой кодировке он у меня не принял читабельный вид.

 

Кроме этого, в приложенном архиве зашифрованный файл и readme.txt с PID.

 

 

Прошу помощи с расшифровкой.

406.rar

thyrex

thyrex

Опубликовано
Опубликовано
C:\Users\Admin\AppData\Local\Temp\system.exe

C:\Users\Admin\AppData\Local\Temp\system.exe

C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Temp\system.exe

 

+ любой из этих файлов заархивируйте с паролем virus, выложите на sendspace.com и пришлите ссылку на скачивание мне в ЛИЧНЫЕ СООБЩЕНИЯ

thyrex

thyrex

Опубликовано
Опубликовано

Присланный архив - это майнер.

 

А вообще компьютер не первый раз подвергается атаке шифраторов. Значит с элементарной информационной безопасностью совсем беда. Пароль от RDP смените для начала.

В этот раз расшифровки не будет, увы. Подобрать ключ уже невозможно. А там их тем более уже два, в зависимости от размера шифруемого файла.

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Temp\system.exe');
 QuarantineFile('C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Temp\system.exe','');
 QuarantineFile('C:\Users\Admin\AppData\Local\Temp\system.exe','');
 TerminateProcessByName('C:\Users\Admin\AppData\Local\Temp\system.exe');
 DeleteFile('C:\Users\Admin\AppData\Local\Temp\system.exe','32');
 DeleteFile('C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Temp\system.exe','32');
 DeleteFile('C:\Windows\system32\drivers\49170864.sys','64');
 DeleteFile('C:\Windows\system32\drivers\E3A0A32A.sys','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','IBGLIBOLIBGLIBO');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','POBELGBMLOBELGB');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','IBGLEBOLMBGLEBO');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

Monmak25

Monmak25

Опубликовано
  • Автор
Опубликовано

По поводу "Значит с элементарной информационной безопасностью совсем беда." - пароли всех учетных записей и порт для RDP на маршрутизаторе меняются регулярно. За три предыдущие года не было не одного заражения.

Поэтому не надо учить меня делать мою работу. Если сотрудник открывает любые письма без оглядки на безопасность компьютера и локальной сети, я не собираюсь стоять у него за спиной и бить по рукам каждый раз, когда он соберется сделать глупость - это не входит в мои должностные обязанности.

 

По поводу "В этот раз расшифровки не будет, увы." - какой смысл избавляться от этого вируса, если это ни к чему не приведет?

Получить еле живую операционную систему с кучей зашифрованных файлов.

thyrex

thyrex

Опубликовано
Опубликовано

Заражение через открытие ссылки (или вложения) в данном случае как раз и не было. Если я пишу про RDP, значит, для этого есть основания.

Или может Вы сумеете мне рассказать, как может пропасть с Рабочего стола временный файл с ключами для шифрования при условии, что он не удаляется и не отсылается злодеям?

Даже если он и шифруется, то как по Вашему злодеи его расшифруют не имея ключей, которые генерируются сразу после запуска?

 

какой смысл избавляться от этого вируса, если это ни к чему не приведет?

Вы в названии раздела, куда обратились, видите фразу "Помощь в расшифровке"?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • strana2016
      Вирус-шифровальщик labubu
      Автор strana2016
      Поймали такой вирус, на одном из компьютеров сети появился файл с требованиями LABUBU, Новый сетевой диск и часть данных на компьютере, а так же в общей папке локальной сети зашифрована .dom. Kaspersky отключился. Можно ли полагать, что это все, что он успел зашифровать или лучше не включать зараженный компьютер? И может ли через общую папку он проникнуть в компьютеры других пользователей? Спасибо

    • serg12345
      Вирус pedrolloanisimka
      Автор serg12345
      Подхватили вирус и всё зашифровано. Есть возможность помочь в этом? 
    • ravna
      Вирус шифровальщик
      Автор ravna
      Добрый день.
      Утром обнаружили на сервере все зашифрованные файлы. Шифрование произошло ночью.
      Результат проверки утилитами Kaspersky Virus Removal Tool 2015 и Dr.Web CureIt! - 0 вирусов
      Приложил отчет, образец зашифрованного файла и сообщение в текстовом файле, которое находится на рабочем столе и в каждом каталоге дисков.
      Спасибо
       
       
      CollectionLog-2018.08.30-11.22.zip
      HOW TO RECOVER ENCRYPTED FILES.TXT
      wincmd.ini.BD.zip
    • vto
      вирус шифровальщик, помогите с дешифратором
      Автор vto
      Доброго дня, Коллеги
       
      сегодня один из моих пользователей открыл архив из почты и зашифровал прилично файлов
       
      вложение в прицепе, вирус точно там
       
      если есть возможность помочь с дешифратором, большая просьба
       
      b.r. vto
    • Alex_Z
      Вирус шифровальщик - Windows 2008 R2
      Автор Alex_Z
      Добрый вечер!
      Сегодня обнаружили, что практически все файлы на windows server 2008 r2 зашифрованы, а в каждой категории лежат аналогичные файлы txt с посланием:
       
      ************************************************************ SYSTEM DAMAGED! FILES WILL BE DELETED! URGENT ATTENTION! ************************************************************ To restore your files and access them, you need to pay 5 bitcoins Bitcoins have to be sent to this address: 14HNKK5uJeZ2rt96Pi9K2U6jbpCWyRrz5M After payment contact us to receive your password key. Contact Email : repairme2017@keemail.me With subject (Personal ID) : error66733200124 In order to purchase Bitcions you can use : www.coinbase.com www.localbitcoin.com ============================================================ IMPORTANT! IF YOU DON'T PAY IN MAXIM 24 HOURS ALL YOUR FILES WILL BE PERMANENTLY DELETED!!! ============================================================   Бэкапы файлов есть, но не совсем свежие, возможно ли расшифровать данные?   В приложении отчеты из AutoLogger и Farbar Recovery Scan Tool   CollectionLog-2017.05.18-17.33.zip
      frst-addition.zip
×
×
  • Создать...