Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Xorist-Frozen. Новая разновидность.

samadhist
 Поделиться

Рекомендуемые сообщения

samadhist Новичок

samadhist

Опубликовано
Опубликовано

Добрый день! имеется пострадавший сервер на Windows Server 2008R2. 

был подобран пароль к учётке админа и установлен криптолокер.

все файлы имеют расширение:

.DATA_IS_SAFE_YOU_NEED_TO_MAKE_THE_PAYMENT_IN_MAXIM_24_HOURS_OR_ALL_YOUR_IMPORTANT_FILES_WILL_BE_LOST_FOREVER_PLEASE_BE_REZONABLE_IS_NOT_A_JOKE_TIME_IS_LIMITED

систему уже пролечил, пароли сменил, но требуется помощь в дешифровке файлов.

все необходимые архивы прилагаю. 

буду благодарен за любую помощь!

CollectionLog-2018.10.16-00.32.zip

FRST.rar

sample.rar

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

Вам знакома следующая настройка?

O7 - IPSec: Name: win (2018/09/30) - {ea3d90b5-d4aa-43d8-82ae-bf4ce370e5a1} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/09/30) - {ea3d90b5-d4aa-43d8-82ae-bf4ce370e5a1} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/09/30) - {ea3d90b5-d4aa-43d8-82ae-bf4ce370e5a1} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/09/30) - {ea3d90b5-d4aa-43d8-82ae-bf4ce370e5a1} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/09/30) - {ea3d90b5-d4aa-43d8-82ae-bf4ce370e5a1} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block


HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = 127.0.0.1:10011 (disabled)
O22 - Task: Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
O22 - Task: WinHostStartForMachne - C:\ProgramData\winhost.exe (file missing)
O22 - Task: ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa


AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
begin
 QuarantineFile('c:\windows\debug\item.dat','');
 QuarantineFile('c:\windows\debug\ok.dat','');
 QuarantineFile('C:\ProgramData\winhost.exe','');
 DeleteSchedulerTask('Mysa1');
 DeleteSchedulerTask('ok');
 DeleteSchedulerTask('WinHostStartForMachne');
 DeleteFile('C:\ProgramData\winhost.exe','64');
 DeleteFile('c:\windows\debug\ok.dat','64');
 DeleteFile('c:\windows\debug\item.dat','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

После выполнения скрипта перезагрузите ваш сервер вручную.

После перезагрузки:
- Выполните в AVZ:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ загрузите этот архив через данную форму

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.





 

Ссылка на комментарий
Поделиться на другие сайты
samadhist Новичок

samadhist

Опубликовано
  • Автор
Опубликовано

Огромная благодарность за помощь!
отдельный поклон модератору thyrex за предоставленный файл с ключом для расшифровки.

Работает великолепно!
Вы мои герои, ребята. дай Бог Вам здоровья и счастья.
 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Если minion67, это Ваш никнейм на BC, то небольшая просьба на будущее: выкладывать файлы, в имени которых нет никаких китайских иероглифов. Пришлось повозиться гораздо дольше с брутом ключа.

  • Согласен 2
Ссылка на комментарий
Поделиться на другие сайты
samadhist Новичок

samadhist

Опубликовано
  • Автор
Опубликовано

Если minion67, это Ваш никнейм на BC, то небольшая просьба на будущее: выкладывать файлы, в имени которых нет никаких китайских иероглифов. Пришлось повозиться гораздо дольше с брутом ключа.

 

нет, не совсем. это не я, но я следил так же за той темой на том забугорном форуме, т.к. там ребята с аналогичной проблемой. спасибо за помощь. мне помогло, файлы расшифровались.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Zubarev211
      Зашифровали данные компьютера с помощью шифровальщика Xorist
      Автор Zubarev211
      Добрый день, поймали шифровальщик Xorist, зашифровали все файлы расширением *.er. Нужно было восстановить базу данных 1С. Из теневой папки получилось восстановить 1CD8.1CD
      Указанный файл не был зашифрован расширением .er, но при запуске выдавало ошибку о повреждении данных.

      Так же пытались вашим декриптором использовали пару 2х файлов, но так же получали ошибку(пробовали на документах ворд)

      Подскажите пожалуйста какие дальнейшие шаги нам нужно сделать, чтобы восстановить базу. Спасибо! 
    • timson74
      Можно ли продлить подписку Kaspersky Standard с помощью карты с новой лицензией
      Автор timson74
      Добрый день. Имеется Kaspersky Standard на 3 устр., 21.21.7.384(а). Подписка действует до 1 сентября 2025г. Хочу заранее приобрести карту с новой лицензией Kaspersky Standard (3устр., 1год) для последующего продления подписки, т.к. имеющиеся на рынке предложения получаются дешевле, чем продление на сайте Касперского. Вопрос - можно ли вообще продлевать текущую подписку покупкой карты на НОВУЮ лицензию?
    • Nik1122
      Проблемы с запуском ПК после установки нового SSD NVMe M.2
      Автор Nik1122
      Недавно приобрёл новый SSD-диск Kingston FURY Renegade NVMe 1TB. После его установки у меня начались проблемы с запуском ПК. Вот основные из них:
      ПК в целом стал загружаться значительно дольше.
      Иногда после того, как экран на минуту зависает на окне BIOS, появляется синий экран с ошибкой — KERNEL_DATA_INPAGE_ERROR или DPC_WATCHDOG_VIOLATION.
      После запуска SSD может не отображаться — это решается перезагрузкой ПК.
      Иногда появляется чёрный экран или система зависает на заставке BIOS.
      Ошибки из пунктов 2–4 возникают примерно при каждом третьем запуске. В остальных случаях система просто долго загружается.
    • KL FC Bot
      SparkKitty: новый троян-стилер в App Store и Google Play | Блог Касперского
      Автор KL FC Bot
      Ваши снимки — это буквально ключи к личной жизни. В галерее мы храним планы на будущее, собственные финансовые секреты, фотографии котиков, а порой даже то, чем нельзя делиться ни с кем. Но как часто вы задумываетесь о защите своих снимков? Надеемся, что после истории с кроссплатформенным трояном-стилером SparkCat — чаще обычного.
      Мы обнаружили младшего брата этой угрозы. Троян ласково назвали SparkKitty. Но не обольщайтесь, за милым названием скрывается шпион, который, как и его старший брат, нацелен на кражу фотографий со смартфонов жертв. В чем особенности этой угрозы и почему ей нужно уделить внимание владельцам Android и iPhone?
      Как SparkKitty попадает на устройства
      Стилер распространяется двумя способами: в дикой природе — то есть на безымянных просторах Интернета, и в официальных магазинах приложений — App Store и Google Play. Обо всем по порядку.
       
      View the full article
    • KL FC Bot
      Ландшафт ransomware в 2025 году и новые причины не платить
      Автор KL FC Bot
      12 мая — Всемирный день борьбы с шифровальщиками. В 2025 году в этот памятный день, учрежденный Интерполом и «Лабораторией Касперского», мы хотим обсудить тенденции, которые прослеживаются в ransomware-инцидентах и служат доказательством того, что с каждым годом идея вести переговоры со злоумышленниками и совершать переводы в криптовалюте становится все хуже.
      Низкое качество расшифровщиков
      Когда инфраструктура компании зашифрована в результате атаки, бизнес в первую очередь хочет вернуться к нормальной деятельности, как можно быстрее восстановив данные на рабочих станциях и серверах. Из записок вымогателей может сложиться впечатление, что после оплаты компания получит приложение, которое быстро вернет всю информацию на свои места и можно будет практически безболезненно продолжить работу. На практике этого почти никогда не случается.
      Во-первых, часть вымогателей просто обманывает своих жертв и вообще не присылает расшифровщик. Такие случаи стали широко известны, например благодаря утечке внутренней переписки вымогателей Black Basta.
      Во-вторых, бизнес вымогателей — это шифрование, а не расшифровка, поэтому написанию декрипторов уделяется минимум внимания: они плохо и медленно работают. Может оказаться, что восстановление данных из резервной копии пройдет значительно быстрее, чем восстановление при помощи утилиты злоумышленников. Часто присланные вымогателями расшифровщики сбоят при встрече с экзотическими именами файлов, из-за конфликтов прав доступа или просто без видимой причины и при этом не имеют механизма продолжения расшифровки с того места, где она прервалась. Иногда, из-за некорректной обработки, они просто портят файлы.
      В результате образовался целый сегмент ИТ-бизнеса — нормальная расшифровка. Легитимные компании берут полученный от вымогателей сырой расшифровщик и переписывают его так, чтобы он работал нормально. Но быстро найти такую компанию и дождаться улучшенную версию утилиты — опять потери денег и времени.
       
      View the full article
×
×
  • Создать...