Перейти к содержанию

Тоже поймали шифровальщик CryptConsole 3

aleksandarporfenov
 Share

Рекомендуемые сообщения

aleksandarporfenov Новичок

aleksandarporfenov

Опубликовано
Опубликовано

Тоже поймали его сегодня, вот текст..
 Your files are encrypted!
YOUR PERSONAL ID
Zrr03PHaSrhIJOdPkxM0p8Sd4Qwz1NbEUngihWst
---------------------------------------------------------------------------------
Discovered a serious vulnerability in your network security.
No data was stolen and no one will be able to do it while they are encrypted.
For you we have automatic decryptor and instructions for remediation.
---------------------------------------------------------------------------------
You will receive automatic decryptor and all files will be restored
---------------------------------------------------------------------------------
* To be sure in getting the decryption, you can send one file(less than 10MB) to mirey@tutanota.com or teresa@tutanota.de In the letter include your personal ID(look at the beginning of this document).
Attention!
Attempts to self-decrypting files will result in the loss of your data
Decoders other users are not compatible with your data, because each user's unique encryption key
---------------------------------------------------------------------------------
 

можно здесь попросить помощи, что бы тем не плодить?

Сообщение от модератора thyrex
Перенесено из темы https://forum.kasperskyclub.ru/index.php?showtopic=60055
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

можно здесь попросить помощи, что бы тем не плодить?

у каждого пострадавшего своя тема

 

Порядок оформления запроса о помощи

Логи прикрепите к следующему сообщению в данной теме.

Ссылка на комментарий
Поделиться на другие сайты
aleksandarporfenov Новичок

aleksandarporfenov

Опубликовано
  • Автор
Опубликовано (изменено)

Как я понял расшифровать ничего нельзя, видимо придется платить. Посмотрите пожалуйста логи, может хотя бы понятно откуда он взялся? 

пожрал файлы из папок с общим доступом на сервере, сами пк пользователей не тронуты

CollectionLog-2018.07.31-18.17.zip

Изменено пользователем aleksandarporfenov
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Судя по логам, источником инфекции стала другая машина в сети. В этих ни шифрованных файлов, ни сообщений вымогателей для связи.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
aleksandarporfenov Новичок

aleksandarporfenov

Опубликовано
  • Автор
Опубликовано

Судя по логам, источником инфекции стала другая машина в сети. В этих ни шифрованных файлов, ни сообщений вымогателей для связи.

На этом сервере как раз файлы и зашифрованы, но мне тоже показалось, что атака была с пользовательского ПК.

Могу я каким-то образом попытаться найти как это ПК? в подозрении у меня 12 штук..

Ссылка на комментарий
Поделиться на другие сайты
aleksandarporfenov Новичок

aleksandarporfenov

Опубликовано
  • Автор
Опубликовано

в том и проблема, что все пользовательские пк не зашифрованы.


Ищите тот, на котором зашифрованы не только расшаренные папки и файлы README.txt тоже встречаются массово.

еще есть одна папка на другом сервере, там много зараженных файлов, может тут что-то будет.

прикрепил всё как по прошлому

CollectionLog-2018.07.31-19.24.zip

FRST64 log.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Да, этот и стал источником.

 

Папку C:\Confused удалите. Судя по времени ее появления, зашли первый раз около 6 вечера, а шифрование дальше запустили уже ночью.

 

Пароль от RDP смените.

 

Кстати, никакой установки обновлений для софта у Вас после 18:00 не планируется по расписанию? Можно еще логи сервера посмотреть, если они не зашифрованы. Возможно в них есть упоминание о выполненных после несанкционированного входа действиях. В том числе и возможное копирование информации из открываемых txt-файлов. Имя такого файла совпадает с ID в файле README.txt и расположен этот файл был на Рабочем столе.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
aleksandarporfenov Новичок

aleksandarporfenov

Опубликовано
  • Автор
Опубликовано

Да, этот и стал источником.

 

Папку C:\Confused удалите. Судя по времени ее появления, зашли первый раз около 6 вечера, а шифрование дальше запустили уже ночью.

 

Пароль от RDP смените.

 

Кстати, никакой установки обновлений для софта у Вас после 18:00 не планируется по расписанию? Можно еще логи сервера посмотреть, если они не зашифрованы. Возможно в них есть упоминание о выполненных после несанкционированного входа действиях. В том числе и возможное копирование информации из открываемых txt-файлов. Имя такого файла совпадает с ID в файле README.txt и расположен этот файл был на Рабочем столе.

судя по диспетчеру служб удаленных столов ночью зашел под пользователем sqluser, которого я даже в ад не вижу.. Спасибо большое за наводку.

а обычно появляются дешифраторы для таких шифровальщиков спустя какое-то время?

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

В данном случае его не будет. Используется неподлежащий брутфорсу генератор ключей. А ключей этих два.

Есть такой пользователь в логе Addition.txt

sqluser (0 - Limited - Enabled) => %systemroot%\system32\config\systemprofile

 

 

В логе FRST.txt

Loaded Profiles: Администратор (Available Profiles: lmihailova & amatveev & USR1CV81 & sqluser & develop & aniskin & sa & Администратор & Classic .NET AppPool)

 

 

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
aleksandarporfenov Новичок

aleksandarporfenov

Опубликовано
  • Автор
Опубликовано

 

В данном случае его не будет. Используется неподлежащий брутфорсу генератор ключей. А ключей этих два.

 

Есть такой пользователь в логе Addition.txt

sqluser (0 - Limited - Enabled) => %systemroot%\system32\config\systemprofile

 

 

В логе FRST.txt

Loaded Profiles: Администратор (Available Profiles: lmihailova & amatveev & USR1CV81 & sqluser & develop & aniskin & sa & Администратор & Classic .NET AppPool)

 

 

 

Про то, что не расшифруют никогда это конечно печально, попробуем платить, если почта их еще активна..

Юзера нашел, спасибо. И вообще спасибо, большую работу делаете :)

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • IrinaC
      Поймали шифровальщика
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • BORIS59
      [РАСШИФРОВАНО] Поймал шифровальщика вымогателя.
      От BORIS59
      Доброго времечка поймал шифровальщик, система не переустанавливалась.
      Зашифровали файлы (WANNACASH NCOV v170720), требуют выкуп!
      Попался на поиске ключей ESET, в 2020г. Обращался в ESET про пудрили
      мозг и смылись. Приложил скрин kvrt сделан сразу после шифровки.
      Подскажите, пожалуйста, возможно восстановить?

      Farbar Recovery Scan Tool.zip Файлы с требованиями злоумышленников.zip Зашифрованные файлы.zip
    • yarosvent
      поймали шифровальщика
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
    • LeraB
      Поймали шифровальщика на несколько серверов
      От LeraB
      Приветствую.
      Поймали шифровальщика, который работает до сих.
      Ничего не переустанавливали и не трогали, проверяем только доступность компьютеров, их работу и ищем, где он еще может работать. Если понятно, что шифровальщик еще где-то работает, то отключаем этот сервер/компьютер.
      Все, что можно спасти, копируем.
      Пострадала почти вся сеть, не только лок.пк и сервера, но и NAS (именно smb)
      Шифровальщик затронул большинство нужных файлов, но не все.
      Логи собрали с одного сервера, примеры файлов с него же.
      Файл шифровальщика пока найти не удалось, как и выяснить все остальное, кроме того, как оно работает с ночи примерно с 00:00 12.12.2024
      FRST.txt Addition.txt архив.zip
    • Алексей Андронов
      Поймали по почте шифровальщик-вымогатель
      От Алексей Андронов
      Добрый день!
       
      Поймали шифровальщика, который работает до сих пор на отключенном от интернета ПК.
      Ничего не переустанавливали и не трогали.
      Все, что можно спасти, копируем.
      Пострадал один ПК и один резервный сменный накопитель.
      Шифровальщик затронул большинство файлов.
      Предположительно получен по почте 02.12.24 под видом акта сверки расчетов
       
      Прошу помощи в излечении и расшифровке
       
      Во вложении логи FRST, архив с документами и запиской вымогателей и, предположительно, дроппер с которого произошло заражение и резидентный модуль
      архив.zip virus.zip Addition.txt FRST.txt
×
×
  • Создать...