Перейти к содержанию

Morvan.exe шифровальщик

not-lamer
 Share Подписчики 0

Рекомендуемые сообщения

not-lamer

not-lamer 0

Опубликовано
Опубликовано

Добрый день.

 

Похоже пользователь запустил с правами администратора червя. Бесплатный Аваст не среагировал.

 

Есть возможность дешифровать файлы?

 

Логи  Farbar Recovery Scan Tool NAAC5Ba.png и архив шифрованного файла прикрепил.

 

Заранее спасибо за ответ!

Addition.txt

FRST.txt

ReadMe_Decryptor.txt

version.txt.Billy_will_help_you@protonmail.com.rar

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано

RDP Wrapper сами себе ставили?

 

Есть возможность дешифровать файлы?

Спросите в техподдержке Вашего антивируса.

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2537381921-3755684774-2304650851-1004\...\Run: [MarvelHost] => C:\Users\draw\AppData\Roaming\Marvel.exe
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR StartupUrls: Default -> "hxxp://yandex.ru/?clid=2101081","hxxp://searchfunmoods.com/?f=1&a=download&chnl=download&cd=2XzuyEtN2Y1L1QzutDtD0F0Fzy0A0DyC0EyDtDyCtCyCyD0AtN0D0Tzu0CtAtByCtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1372964208","hxxp://www.yandex.ru/?win=106&clid=1946475-10362","hxxp://www.google.com/","hxxp://www.google.com"
2018-08-05 04:01 - 2018-07-21 18:15 - 000262144 _____ C:\Users\draw\Documents\1MrGreen.exe
zip:C:\FRST\Quarantine
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
 
 
Ссылка на сообщение
Поделиться на другие сайты
not-lamer

not-lamer 0

Опубликовано
  • Автор
Опубликовано

RDP Wrapper ставили сами, несколько лет работали, проблем не возникало.

 

По всей вероятности уязвимость была в двухсимвольном пароле пользователя с правами администратора.

 

Спасибо за скрипт.

Fixlog.txt

06.08.2018_22.05.17.zip

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано (изменено)

Куда просили архив отправить и что сделали Вы?

 

По всей вероятности уязвимость была в двухсимвольном пароле пользователя с правами администратора.

Если квартиру не закрывать на ключ, то в нее залезет любой вор. Что по факту и произошло. А залезли удаленно по RDP. 

Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • Михаил Сиротин
      Проблема установки обновления Java
      От Михаил Сиротин
      Не удалось выполнить обновление Java 8 Update 241 (64-bit). Неизвестная ошибка.
    • VLAD_RND_61
      Веб-контроль и Java апплеты
      От VLAD_RND_61
      Доброго времени суток.
      Использую KSC 11.0.0.1131 и KES11.1.1.126
      Поставлена тривиальная задача: Через Веб-контроль закрыть доступ ко всем сайтам кроме белого списка.
      Соответственно создано два правила: "Запретить все" и "Белый список" с перечнем корпоративных ресурсов. 
      Проблема возникла следующая: на предприятии используется электронный документооборот через веб. Сайт типа домен.local добавлен в белый список и во все известные мне исключения. 
      В электронном документообороте для загрузки\просмотра файлов используется "Приложение для работы с контентом" написанное на java, которое запускается в начале каждой сессии после авторизации пользователя на сервисе. Само приложение групповыми политиками установлено на машины пользователей и запускается соответственно с них. 
      При включении правила "Запретить все"  java приложение перестает подгружаться и выдается ошибка "неверный дескриптор" (см. скриншоты). 
      Грешил на блокировку расширения .jar добавлял их (*/*.jar, */*.jar?*, *.jar) в список разрешенных, не помогло.
      В работе java ничего не понимаю, не знаю в какую сторону копать, прошу помощи у Вас. 
       



    • dmitryradaev
      Шифратор. Прошу помощи. decrypthelp@qq.com.java
      От dmitryradaev
      Всем привет. Сильно надеюсь на вашу помощь! Нужен дешифратор. 
      08.04.18 примерно в 17:00 была произведена атака на сервер с базой 1С. Злоумышленник использовав RDP проник и установил шифровальщик. Изменилось название и расширение файлов: название файла.расширение.id.decrypthelp@qq.com.java
      Связались по мейлу. Просят 0.3 биткоина. 
      К сообщению прилагаю: Архив с файлом шифровальщиком, Архив с зашифрованными файлами. И еще какие-то странные файлы (кажется появились после атаки) в папке пользователя, через которого зашли на сервер.
       
      Похожую ситуацию описывали на другом форуме, там человек заплатил и рассказывает о своей ситуации, он скинул шифратор, дешифратор и ключи. Ссылка: http://forum.esetnod32.ru/forum35/topic14185/?PAGEN_1=9
       
      Всех неравнодушных прошу помочь. Спасибо!
       

      Сообщение от модератора Mark D. Pearlstone Не прикрепляйте то, что вас не просят. Часть файлов удалена. Зашифрованные файлы.zip
    • Дэйв_Макара
      Kaspersky Endpoint Security ver.11.1.0.15919
      От Дэйв_Макара
      Здравствуйте!
      После обновления Endpoint до версии 11.1.0.15919 отвалились банк-клиент программы. 
      Тумар, CAPICOM,BSS - приказало долго жить, отрезанное политиками Касперского. Попытки переустановить оканчиваются неудачей.
      При выключении эндпоинта - все прекрасно работает.
      Кто-нибудь уже сталкивался с этой бедой...
    • Алео
      Как расшифровать файлы .java (возможно CrySiS/Dharma)
      От Алео
      Коллеги подцепили вирус шифровальщик. Были заражены компьютеры с информацией по Итальянским партнерам, то что могли восстановить восстановили но осталось много важных документов без копии. Файлы приобрели название типа
      miofile.txt.txt.id-0CBE61F3.[Vegas_MOZ6@protonmail.com].java
      12 Traccia 12.wma.id-0CBE61F3.[Vegas_MOZ6@protonmail.com].java
       
      Что делать и кто виноват в ненадлежащей безопасности ясно. Нужно понять есть ли возможность не идти на поводу у хакеров и не платить или все же придется платить. Каковы шансы обойтись без оплаты хакерам? Восстанавливать по любому придется только вот если платить то лучше не хакерам. 
      Пробовал ransomwarefiledecryptor на образцы зашифрованных файлов применить. В поле тип вируса писал не знаю - определялось как Crysis зараженные файлы находились а расшифрованные=0
       Те кто мне пересылал написали что это один из вариантов CrySiS называется Dharma но они не уверены
      Выслали мне наконец требуемый Collectionlog+требование оплатить расшифровку+ есть образцы зашифрованных файлов. несколько файлов в зашифрованном и не зашифрованном виде - оригинал+зашифрованная версия (то что предлагалось расшифровать бесплатно)
       
      CollectionLog-2018.02.27-17.30.zip
      образцы файлов зашифрованный и оригинал.zip
      требование оплатить расшифровку.zip
×
×
  • Создать...