Перейти к содержанию

Зашифрованы файлы на ПК. tuta.io расширение - .rsu

s4.ikt
 Поделиться

Рекомендуемые сообщения

s4.ikt

s4.ikt

Опубликовано
Опубликовано (изменено)

Добрый день.

 

Зашифровались даные и были преобразованы в файлы с расширением .rsu.

 

Проверка с помощью kaspersky virus removal tool не дала результатов.

Прикрепляю лог из autologger'а.

 

 

Буду благодарен за любую помощь.


Также, прикрепляю отчеты FRST

CollectionLog-2018.08.20-10.07.zip

FRST.zip

Изменено пользователем s4.ikt
thyrex

thyrex

Опубликовано
Опубликовано

Фантастика! Умудрились зашифроваться двумя разными версиями шифровальщика Cryakl. Никаких шансов на расшифровку. Будет только зачистка мусора.

 

Пароль от RDP меняйте. Зашли, похоже, под пользователем zabbix.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
File: C:\Users\zabbix\Downloads\my.exe
File: C:\Users\zabbix\AppData\Local\Temp\ORTWADFHKM.exe
File: C:\Users\zabbix\AppData\Local\Temp\UVWWXYYZAA.exe
HKLM-x32\...\Run: [3053508] => 3053508
HKLM-x32\...\Run: [1335171] => 1335171
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Администратор\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Администратор\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Администратор\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\zabbix\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\zabbix\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\zabbix\Documents\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\zabbix\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\zabbix\AppData\Roaming\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\zabbix\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\zabbix\AppData\Local\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\vita1ka\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\vita1ka\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\vita1ka\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Sniper_er\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Sniper_er\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Sniper_er\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\shabalin\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\shabalin\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\shabalin\Documents\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\shabalin\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\shabalin\AppData\Roaming\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\shabalin\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\shabalin\AppData\Local\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Public\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Public\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\plekhanov\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\plekhanov\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\plekhanov\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\lda\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\lda\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\lda\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\frolov\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\frolov\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\frolov\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default User\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default User\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\alexsan\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\alexsan\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\alexsan\Documents\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\alexsan\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\alexsan\AppData\Roaming\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\alexsan\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\alexsan\AppData\Local\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\adm\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\adm\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\adm\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Program Files\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Program Files\Common Files\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Program Files (x86)\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\Администратор\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\zabbix\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\zabbix\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\vita1ka\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\vita1ka\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\Sniper_er\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\Sniper_er\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\shabalin\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\shabalin\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\plekhanov\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\plekhanov\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\lda\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\lda\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\frolov\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\frolov\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\Default\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\Default User\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\alexsan\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\alexsan\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\adm\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\adm\AppData\LocalLow\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Все пользователи\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Администратор\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Администратор\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Администратор\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\vita1ka\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\vita1ka\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\vita1ka\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\vita1ka\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Sniper_er\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Sniper_er\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Sniper_er\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Sniper_er\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Public\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Public\Desktop\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\plekhanov\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\plekhanov\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\plekhanov\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\plekhanov\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\lda\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\lda\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\lda\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\lda\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\frolov\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\frolov\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\frolov\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\frolov\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default User\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default User\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default User\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\adm\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\adm\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\adm\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\adm\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\ProgramData\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
Task: {F01C98AF-7AC5-4FAF-BD32-04AAE78924C4} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet]
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную.
s4.ikt

s4.ikt

Опубликовано
  • Автор
Опубликовано

Пользователя уже отключил насовсем. Тоже заметил от него подозрительную активность. Есть еще несколько зашифрованных машин, их логи для составления такого же текстовика-чистильщика могу скинуть?

thyrex

thyrex

Опубликовано
Опубликовано

Не нужно полностью цитировать выдаваемые Вам рекомендации.

 

Если другие пострадавшие машины были в одной сети с данной, то наверняка они пострадали по сети. Если нет, то по ним создайте отдельные темы.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ches66
      Шифровальщик captain-america@tuta.io].deep
      Автор ches66
      Добрый день!
      Найден шифровальщик 
      зашифровал файлы под именем .id[D80C2187-3352].[captain-america@tuta.io].deep
      Определить Шифровальщик не получается, в связи с чем невозможно определить существует ли дешифровщик к нему.
      Нужна помощь! 
      Доступ АТС.txt.id[D80C2187-3352].[captain-america@tuta.io].zip
      FRST.zip
    • Александр Жуков
      Вирус decrypex@tuta.io
      Автор Александр Жуков
      Доброго времени суток. Случилась вот такая беда - словили вирус-вымогатель на сервер c ОС Windows Server 2012R2 Standart.
      Зашифровались все данные, включая файлы форматов zip, rar, bak, mdf. 
      На сервер никто из пользователей не заходил. Подключились удаленно.
       
      У всех зараженных файлов поменялось расширение на JAVA и к имени добавилось "A0AED89E.decrypex@tuta.io".
       
      Может кто-то сталкивался с таким типом шифровки? 
       
      P.S. Вышел на диалог с вымогателями. Изначально просили 0,4 BTC (биткоина), после уговоров снизили цену до 1500$, что всё равно много.
      log28.11.17.txt
      Romexis - Сброс настроек - v2017-01-25.pdf.id-A0AED89E.decrypex@tuta.io.rar
      FILES ENCRYPTED.txt

      Check_Browsers_LNK.log
      HiJackThis.log
×
×
  • Создать...