Перейти к содержанию

Зашифрованы файлы на ПК. tuta.io расширение - .rsu

s4.ikt
 Share

Рекомендуемые сообщения

s4.ikt Новичок

s4.ikt

Опубликовано
Опубликовано (изменено)

Добрый день.

 

Зашифровались даные и были преобразованы в файлы с расширением .rsu.

 

Проверка с помощью kaspersky virus removal tool не дала результатов.

Прикрепляю лог из autologger'а.

 

 

Буду благодарен за любую помощь.


Также, прикрепляю отчеты FRST

CollectionLog-2018.08.20-10.07.zip

FRST.zip

Изменено пользователем s4.ikt
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Фантастика! Умудрились зашифроваться двумя разными версиями шифровальщика Cryakl. Никаких шансов на расшифровку. Будет только зачистка мусора.

 

Пароль от RDP меняйте. Зашли, похоже, под пользователем zabbix.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
File: C:\Users\zabbix\Downloads\my.exe
File: C:\Users\zabbix\AppData\Local\Temp\ORTWADFHKM.exe
File: C:\Users\zabbix\AppData\Local\Temp\UVWWXYYZAA.exe
HKLM-x32\...\Run: [3053508] => 3053508
HKLM-x32\...\Run: [1335171] => 1335171
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Администратор\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Администратор\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Администратор\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\zabbix\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\zabbix\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\zabbix\Documents\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\zabbix\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\zabbix\AppData\Roaming\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\zabbix\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\zabbix\AppData\Local\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\vita1ka\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\vita1ka\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\vita1ka\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Sniper_er\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Sniper_er\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Sniper_er\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\shabalin\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\shabalin\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\shabalin\Documents\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\shabalin\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\shabalin\AppData\Roaming\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\shabalin\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\shabalin\AppData\Local\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Public\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Public\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\plekhanov\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\plekhanov\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\plekhanov\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\lda\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\lda\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\lda\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\frolov\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\frolov\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\frolov\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default User\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default User\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\alexsan\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\alexsan\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\alexsan\Documents\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\alexsan\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\alexsan\AppData\Roaming\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\alexsan\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\alexsan\AppData\Local\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\adm\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\adm\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\adm\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Program Files\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Program Files\Common Files\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Program Files (x86)\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\Администратор\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\zabbix\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\zabbix\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\vita1ka\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\vita1ka\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\Sniper_er\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\Sniper_er\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\shabalin\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\shabalin\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\plekhanov\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\plekhanov\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\lda\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\lda\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\frolov\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\frolov\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\Default\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\Default User\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\alexsan\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\alexsan\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\adm\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\adm\AppData\LocalLow\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Все пользователи\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Администратор\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Администратор\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Администратор\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\vita1ka\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\vita1ka\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\vita1ka\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\vita1ka\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Sniper_er\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Sniper_er\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Sniper_er\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Sniper_er\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Public\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Public\Desktop\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\plekhanov\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\plekhanov\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\plekhanov\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\plekhanov\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\lda\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\lda\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\lda\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\lda\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\frolov\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\frolov\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\frolov\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\frolov\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default User\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default User\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default User\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\adm\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\adm\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\adm\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\adm\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\ProgramData\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
Task: {F01C98AF-7AC5-4FAF-BD32-04AAE78924C4} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet]
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную.
Ссылка на комментарий
Поделиться на другие сайты
s4.ikt Новичок

s4.ikt

Опубликовано
  • Автор
Опубликовано

Пользователя уже отключил насовсем. Тоже заметил от него подозрительную активность. Есть еще несколько зашифрованных машин, их логи для составления такого же текстовика-чистильщика могу скинуть?

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Не нужно полностью цитировать выдаваемые Вам рекомендации.

 

Если другие пострадавшие машины были в одной сети с данной, то наверняка они пострадали по сети. Если нет, то по ним создайте отдельные темы.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Andrei Butyrchyk
      Зашифрованы файлы с расширением .mammn
      От Andrei Butyrchyk
      Здравствуйте!
      Отработал на машине шифровальщик. До конца отработать, по всей видимости, не успел так как нет записки и не все файлы были зашифрованы.
      Есть папки с RSADecryptKey и предположительно сам файл шифровальщик.
      FRST.zip EncryptedFiles.zip
    • specxpilot
      Вирус зашифровал файлы с расширением .iw8
      От specxpilot
      Текст сообщения 
      !!!Your files have been encrypted!!!
      To recover them, please contact us via email:
      Write the ID in the email subject
      ID: E3EA701E87735CC1E8DD980E923F89D4
      Email 1: Datablack0068@gmail.com
      Email 2: Datablack0068@cyberfear.com
      Telegram: @Datablack0068

      To ensure decryption you can send 1-2 files (less than 1MB) we will decrypt it for free.
      IF 48 HOURS PASS WITHOUT YOUR ATTENTION, BRACE YOURSELF FOR A DOUBLED PRICE.
      WE DON'T PLAY AROUND HERE, TAKE THE HOURS SERIOUSLY.
    • Kyja
      Зашифровались файлы в конце расширение добавляется .iQwLRR0Oo
      От Kyja
      Добрый день поймали шифровальщик, система была полностью переустановлена на другом харде
      Все файлы в конце расширения добавляется .iQwLRR0Oo
      Так же зашифрованы файлы с архивами при попытке извлечь из них получаю ошибку о поврежденном архиве
      Во вложение файлы Addition.txt FRST.txt
      файлы с требованием и пример архива зашифрованый
      Подскажите пожалуйста возможно востановить?
      Files_1.rar
    • hafer
      Поймали шифровальщик. Расширение файлов _[ID-KTRKI_Mail-Vertalic@Tuta.io].LKH
      От hafer
      Windows Server 2012 Standart
      Зашифрованы документы, базы 1с на диске С и D
      FRST.zip
    • jserov96
      Зашифровали сервер файлами с расширением .vx2
      От jserov96
      Шифровальщик запустился скорее всего из планировщика заданий ровно в 21:00 16 ноября в субботу.  Время указано на основе найденных зашифрованных файлов. Шифровальщик нашел все скрытые диски, подключил все бекапы, зашифровал все содержимое .vhd бекапов, и сами бекапы тоже зашифровал. Сервер отключен, диск с бекапами снят, зашифрованные .vhd файлы перенесены на другой диск, чтобы попробовать вытащить файлы. Шифровальщик шифрует первый 20000h байт файла и дописывает 300h байт в огромные файлы, видимо сделано для ускорения шифрования всего диска. Особенность: выполняемые файлы не шифруются!
      vx2.rar
×
×
  • Создать...