Перейти к содержанию

Зашифрованы файлы на ПК. tuta.io расширение - .rsu

s4.ikt
 Share

Рекомендуемые сообщения

s4.ikt Новичок

s4.ikt

Опубликовано
Опубликовано (изменено)

Добрый день.

 

Зашифровались даные и были преобразованы в файлы с расширением .rsu.

 

Проверка с помощью kaspersky virus removal tool не дала результатов.

Прикрепляю лог из autologger'а.

 

 

Буду благодарен за любую помощь.


Также, прикрепляю отчеты FRST

CollectionLog-2018.08.20-10.07.zip

FRST.zip

Изменено пользователем s4.ikt
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Фантастика! Умудрились зашифроваться двумя разными версиями шифровальщика Cryakl. Никаких шансов на расшифровку. Будет только зачистка мусора.

 

Пароль от RDP меняйте. Зашли, похоже, под пользователем zabbix.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
File: C:\Users\zabbix\Downloads\my.exe
File: C:\Users\zabbix\AppData\Local\Temp\ORTWADFHKM.exe
File: C:\Users\zabbix\AppData\Local\Temp\UVWWXYYZAA.exe
HKLM-x32\...\Run: [3053508] => 3053508
HKLM-x32\...\Run: [1335171] => 1335171
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Администратор\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Администратор\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Администратор\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\zabbix\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\zabbix\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\zabbix\Documents\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\zabbix\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\zabbix\AppData\Roaming\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\zabbix\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\zabbix\AppData\Local\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\vita1ka\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\vita1ka\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\vita1ka\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Sniper_er\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Sniper_er\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Sniper_er\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\shabalin\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\shabalin\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\shabalin\Documents\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\shabalin\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\shabalin\AppData\Roaming\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\shabalin\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\shabalin\AppData\Local\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Public\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Public\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\plekhanov\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\plekhanov\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\plekhanov\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\lda\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\lda\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\lda\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\frolov\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\frolov\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\frolov\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default User\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default User\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\alexsan\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\alexsan\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\alexsan\Documents\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\alexsan\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\alexsan\AppData\Roaming\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\alexsan\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\alexsan\AppData\Local\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\adm\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\adm\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\adm\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Program Files\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Program Files\Common Files\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Program Files (x86)\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\Администратор\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\zabbix\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\zabbix\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\vita1ka\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\vita1ka\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\Sniper_er\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\Sniper_er\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\shabalin\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\shabalin\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\plekhanov\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\plekhanov\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\lda\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\lda\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\frolov\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\frolov\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\Default\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\Default User\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\alexsan\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\alexsan\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\adm\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\adm\AppData\LocalLow\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Все пользователи\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Администратор\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Администратор\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Администратор\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\vita1ka\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\vita1ka\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\vita1ka\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\vita1ka\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Sniper_er\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Sniper_er\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Sniper_er\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Sniper_er\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Public\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Public\Desktop\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\plekhanov\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\plekhanov\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\plekhanov\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\plekhanov\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\lda\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\lda\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\lda\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\lda\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\frolov\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\frolov\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\frolov\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\frolov\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default User\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default User\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default User\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\adm\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\adm\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\adm\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\adm\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\ProgramData\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
Task: {F01C98AF-7AC5-4FAF-BD32-04AAE78924C4} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet]
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную.
Ссылка на комментарий
Поделиться на другие сайты
s4.ikt Новичок

s4.ikt

Опубликовано
  • Автор
Опубликовано

Пользователя уже отключил насовсем. Тоже заметил от него подозрительную активность. Есть еще несколько зашифрованных машин, их логи для составления такого же текстовика-чистильщика могу скинуть?

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Не нужно полностью цитировать выдаваемые Вам рекомендации.

 

Если другие пострадавшие машины были в одной сети с данной, то наверняка они пострадали по сети. Если нет, то по ним создайте отдельные темы.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • jserov96
      Зашифровали сервер файлами с расширением .vx2
      От jserov96
      Шифровальщик запустился скорее всего из планировщика заданий ровно в 21:00 16 ноября в субботу.  Время указано на основе найденных зашифрованных файлов. Шифровальщик нашел все скрытые диски, подключил все бекапы, зашифровал все содержимое .vhd бекапов, и сами бекапы тоже зашифровал. Сервер отключен, диск с бекапами снят, зашифрованные .vhd файлы перенесены на другой диск, чтобы попробовать вытащить файлы. Шифровальщик шифрует первый 20000h байт файла и дописывает 300h байт в огромные файлы, видимо сделано для ускорения шифрования всего диска. Особенность: выполняемые файлы не шифруются!
      vx2.rar
    • 4ikotillo
      Зашифрованы файлы на сетевом диске, расширение 4utjb34h
      От 4ikotillo
      Добрый день, обнаружил на своем сетевом хранилище зашифрованные файлы. Файлы были зашиврованы не во всех директориях, а только в тех у которых были права на вход пользователя guest. Я не нашел источник заразы, проверил все компьютеры дома, все чисто. Само шифрование длилось порядка 4 часов и не все файлы были зашиврованны. Видимо зараженное устройство только какое-то время было в моей сети. Прилагаю примеры зашиврованных файлов, мне известно только то что они все имею расширение 4utjb34h. Спасибо за любую помощь.
      4utjb34h.zip FRST.txt
    • Gennadiy89
      Зашифрованы файлы расширение "MZEM8GTPE" почта help@room155.online или room155@tuta.io
      От Gennadiy89
      Всем привет недавно зашифровали файлы на компе расширение "MZEM8GTPE" . Электронную почту в файле readme оставили почта help@room155.online или room155@tuta.io. Требуют 20-30 тысяч за восстановление файлов. Хорошо многие файлы дома на другом компе сохранены, за последние пару недель файлы остались зашифрованными только. Подскажите добрые люди можно ли как то расшифровать?
      выписка.docx
    • Шаманов_Артём
      Зашифровались файлы. Помогите, пожалуйста.
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      Файлы зашифрованы .Demetro9990@cock.li
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
×
×
  • Создать...