Перейти к содержанию
Конкурс по разработке Telegram-бота Kaspersky Club

Xorist-Frozen. Новая разновидность.

samadhist
 Поделиться

Рекомендуемые сообщения

samadhist Новичок

samadhist

Опубликовано
Опубликовано

Добрый день! имеется пострадавший сервер на Windows Server 2008R2. 

был подобран пароль к учётке админа и установлен криптолокер.

все файлы имеют расширение:

.DATA_IS_SAFE_YOU_NEED_TO_MAKE_THE_PAYMENT_IN_MAXIM_24_HOURS_OR_ALL_YOUR_IMPORTANT_FILES_WILL_BE_LOST_FOREVER_PLEASE_BE_REZONABLE_IS_NOT_A_JOKE_TIME_IS_LIMITED

систему уже пролечил, пароли сменил, но требуется помощь в дешифровке файлов.

все необходимые архивы прилагаю. 

буду благодарен за любую помощь!

CollectionLog-2018.10.16-00.32.zip

FRST.rar

sample.rar

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

Вам знакома следующая настройка?

O7 - IPSec: Name: win (2018/09/30) - {ea3d90b5-d4aa-43d8-82ae-bf4ce370e5a1} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/09/30) - {ea3d90b5-d4aa-43d8-82ae-bf4ce370e5a1} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/09/30) - {ea3d90b5-d4aa-43d8-82ae-bf4ce370e5a1} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/09/30) - {ea3d90b5-d4aa-43d8-82ae-bf4ce370e5a1} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/09/30) - {ea3d90b5-d4aa-43d8-82ae-bf4ce370e5a1} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block


HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = 127.0.0.1:10011 (disabled)
O22 - Task: Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
O22 - Task: WinHostStartForMachne - C:\ProgramData\winhost.exe (file missing)
O22 - Task: ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa


AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
begin
 QuarantineFile('c:\windows\debug\item.dat','');
 QuarantineFile('c:\windows\debug\ok.dat','');
 QuarantineFile('C:\ProgramData\winhost.exe','');
 DeleteSchedulerTask('Mysa1');
 DeleteSchedulerTask('ok');
 DeleteSchedulerTask('WinHostStartForMachne');
 DeleteFile('C:\ProgramData\winhost.exe','64');
 DeleteFile('c:\windows\debug\ok.dat','64');
 DeleteFile('c:\windows\debug\item.dat','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

После выполнения скрипта перезагрузите ваш сервер вручную.

После перезагрузки:
- Выполните в AVZ:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ загрузите этот архив через данную форму

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.





 

Ссылка на комментарий
Поделиться на другие сайты
samadhist Новичок

samadhist

Опубликовано
  • Автор
Опубликовано

Огромная благодарность за помощь!
отдельный поклон модератору thyrex за предоставленный файл с ключом для расшифровки.

Работает великолепно!
Вы мои герои, ребята. дай Бог Вам здоровья и счастья.
 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Если minion67, это Ваш никнейм на BC, то небольшая просьба на будущее: выкладывать файлы, в имени которых нет никаких китайских иероглифов. Пришлось повозиться гораздо дольше с брутом ключа.

  • Согласен 2
Ссылка на комментарий
Поделиться на другие сайты
samadhist Новичок

samadhist

Опубликовано
  • Автор
Опубликовано

Если minion67, это Ваш никнейм на BC, то небольшая просьба на будущее: выкладывать файлы, в имени которых нет никаких китайских иероглифов. Пришлось повозиться гораздо дольше с брутом ключа.

 

нет, не совсем. это не я, но я следил так же за той темой на том забугорном форуме, т.к. там ребята с аналогичной проблемой. спасибо за помощь. мне помогло, файлы расшифровались.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Zubarev211
      Зашифровали данные компьютера с помощью шифровальщика Xorist
      Автор Zubarev211
      Добрый день, поймали шифровальщик Xorist, зашифровали все файлы расширением *.er. Нужно было восстановить базу данных 1С. Из теневой папки получилось восстановить 1CD8.1CD
      Указанный файл не был зашифрован расширением .er, но при запуске выдавало ошибку о повреждении данных.

      Так же пытались вашим декриптором использовали пару 2х файлов, но так же получали ошибку(пробовали на документах ворд)

      Подскажите пожалуйста какие дальнейшие шаги нам нужно сделать, чтобы восстановить базу. Спасибо! 
    • Даниил.Б
      Проблемы с компьютером, зависает и перезагружается после установки нового SSD M2
      Автор Даниил.Б
      Купил новый SSD m2 kingston fury 1tb, поставил во второй слот на материнке, включаю, начались фризы. Виндовс может зависнуть и перезагрузить, либо просто зависнуть и черный экран. Иногда бывает, что включается, пользоваться можно но с фризами. Вытащил этот SSD, все так же осталось.

      Вытащил все диски кроме винды. Ставил все диски по очереди в разных комбинациях и в разные слоты. Дергал оперативку. Поставил новую винду 11, пробовал ставить на старый M2 и на новый M2. (НИЧЕГО ИЗ ЭТОГО НЕ ПОМОГЛО)

      В диспетчере все работает стабильно без скачков нагрева/перегрева и т.д.

      Компьютеру год, всё работало стабильно, в биосе только поднимал частоту оперативки с 4800 до 6000 при заявленной производителем 6400.

      В интернете тупо ничего про эту проблему.

      Материнская плата:MSI B760 gaming plus Wi-Fi

      Процессор: intel i7 12700kf

      Оперативная память: Gskill DDR5 32 6400 MHz

      Видеокарта: Gigabyte RTX 4060TI

      Накопители (HDD/SDD): HDD 1tb, SSD Samsung 250, MSI SSD m2 500, Kingston fury SSD m2 1tb

      Блок питания: gamemax 850 pro

      Сис-ма охлаждения: deep cool ag620 argb
    • KL FC Bot
      Новый стилер Arcane распространяется под видом читов для Minecraft | Блог Касперского
      Автор KL FC Bot
      В конце 2024 года наши эксперты обнаружили новый стилер Arcane — он умеет собирать множество различных данных с зараженного устройства. Злоумышленники пошли дальше и выпустили загрузчик ArcanaLoader, который якобы скачивает читы, кряки и прочие «полезности» для геймеров, а на деле заражает устройство стилером Arcane. Кажется, что с креативом у них все очень плохо, но это касается только названий. Схема распространения трояна и сама идея довольно-таки оригинальны.
      Надеемся, вы уже знаете, что не нужно скачивать все подряд из ссылок под видео на YouTube? Еще нет? Тогда читайте эту историю.
      Как распространяют стилер Arcane
      Вредоносная кампания, в которой мы обнаружили стилер Arcane, была активна еще до его появления на свет. Проще говоря: сначала злоумышленники распространяли другие вредоносы, а потом заменили их на Arcane.
      Как выглядела схема. Ссылки на запароленный архив с вредоносным содержимым располагались под YouTube-роликами с рекламой читов для игр. В архиве всегда был вовсе не подозрительный BATCH-файл start.bat. Функциональность его сводилась к запуску PowerShell для скачивания еще одного запароленного архива, внутри которого лежали два исполняемых файла: майнер и стилер VGS. Вот им-то на смену и пришел Arcane. Новый стилер сначала продвигали точно так же: ролик, первый вредоносный архив, затем второй — и троян на устройстве жертвы.
      Спустя несколько месяцев злоумышленники усовершенствовали схему и к видео на YouTube стали прикладывать ссылку на ArcanaLoader — загрузчик с графическим интерфейсом, нужный якобы для скачивания и запуска читов, кряков и прочего подобного ПО. На самом деле ArcanaLoader заражал устройство стилером Arcane.
      Внутри клиента — куча вариантов читов для Minecraft
       
      View the full article
    • KL FC Bot
      Trojan.Arcanum — новый троян, нацеленный на знатоков карт Таро, эзотерики и магии | Блог Касперского
      Автор KL FC Bot
      Представьте, каким был бы мир, если бы с помощью карт Таро можно было точно предсказать абсолютно любые события! Быть может, тогда бы мы пресекли «Операцию Триангуляция» в зародыше, а уязвимостей нулевого дня не возникало бы в принципе — разработчики ПО знали бы о них заранее благодаря предупреждающим раскладам.
      Звучит невероятно, но нечто подобное нашим экспертам удалось организовать в этот раз! Читайте этот материал, чтобы узнать, что за новый троян мы обнаружили и как именно это сделали.
      Что за троян
      Новый троян Trojan.Arcanum распространяется через сайты, посвященные гаданиям и эзотерике, маскируясь под «магическое» приложение для предсказания будущего. На первый взгляд — это безобидная программа, предлагающая пользователю разложить виртуальные карты Таро, рассчитать астрологическую совместимость или даже «зарядить амулет энергией Вселенной», что бы это ни значило. Но на самом деле за кулисами творится нечто по-настоящему мистическое — в худшем смысле этого слова. После внедрения на устройство пользователя Trojan.Arcanum обращается к облачному C2-серверу и устанавливает полезную нагрузку — стилер Autolycus.Hermes, майнер Karma.Miner и шифровальщик Lysander.Scytale.
      Собрав данные пользователя (логины, пароли, дату, время и место рождения, банковскую информацию и так далее), стилер также отправляет их в облако, а дальше начинается самое интересное: троян принимается манипулировать своей жертвой в реальной жизни с использованием методов социальной инженерии!
      С помощью всплывающих уведомлений Trojan.Arcanum отправляет пользователю псевдоэзотерические советы, побуждая его совершать те или иные действия. Так, получив доступ к банковским приложениям жертвы и обнаружив на счету крупную сумму, злоумышленники отправляют команду, и зловред выдает совет с раскладом о благоприятности крупных инвестиций — после чего жертве может прийти фишинговое письмо с предложением поучаствовать в «перспективном стартапе». А может и не прийти — смотря как лягут карты.
      Одновременно с этим встроенный майнер Karma.Miner начинает майнить токены KARMA, а троян активирует платную подписку на сомнительные «эзотерические практики» с ежемесячным списанием средств. Если майнинг кармы обнаруживается и завершается пользователем, шифровальщик перемешивает сегменты пользовательских файлов в случайном порядке без возможности восстановления.
       
      View the full article
    • Bercolitt
      Появился новый Bug с экранной клавиатурой.
      Автор Bercolitt
      Захожу в браузер в режиме безопасных платежей.Вызываю экранную клавиатуру комбинацией клавиш
      Ctrl+Alt+Shift+P. После этого пытаюсь зайти в личный кабинет online.vtb. Нажимаю клавишу для получения смс-ки. Однако клавиша не срабатывает, смс не приходит.Повторное нажатие - тот же результат. Никаких диагностических сообщений не поступает.Как-будто семафорная блокировка по одному и тому же программному ресурсу. Выключаю виртуальную клавиатуру и клавиша запроса смс срабатывает. Bug появился сегодня.
×
×
  • Создать...