Перейти к содержанию

Шифровальщик Light_Yagami@tuta.io or Vash_the_Stampede@keemail.me


Рекомендуемые сообщения

Отправлено 20 Август 2018 - 06:37

Добрый день.

 

На NetGear подняты Общие ресурсы на Томе RAID. 22.10.2018 все файлы в папках приняли зашифрованный вид. 

Зашифровались данные и были преобразованы в файлы без расширения

 

Проверка с помощью kaspersky virus removal tool не дала результатов.

Прикрепляю лог из autologger'а.

 

 

Буду благодарен за любую помощь.


Также, прикрепляю отчеты FRST и README

 

CollectionLog-2018.10.23-02.57.zip

README.zip

FRST.zip

Изменено пользователем it4
Ссылка на комментарий
Поделиться на другие сайты

Это CryptConsole 3. Без ключей, уникальных для каждого компьютера, расшифровать невозможно.

 

Ничего плохого логи не показали.

Ссылка на комментарий
Поделиться на другие сайты

Без обращения к злоумышленникам, увы, никак. Используется безопасный метод генерации ключей, подобрать которые в принципе нереально. Но к ним на свой страх и риск, если решитесь.

Ссылка на комментарий
Поделиться на другие сайты

Добрый день!

 

выкладываю свежие логи из autologgerа.

 

 

Также, прикрепляю отчеты FRST и еще один README


Из последних вложений можно увидеть ПК, с которого прошло шифрование и каким способом?

FRST.zip

README.txt

CollectionLog-2018.10.24-14.54.zip

Ссылка на комментарий
Поделиться на другие сайты

() C:\Windows\Inf\ssmngservice\0009\v3.5.56385\1049\5.0\wahiver.exe

() C:\Windows\Inf\ssmngservice\0009\v3.5.56385\1049\5.0\wasp.exe

() C:\Windows\Inf\ssmngservice\0009\v3.5.56385\1049\5.0\waspwing.exe

() C:\Windows\Inf\ssmngservice\0009\v3.5.56385\1049\5.0\wasp.exe

() C:\Windows\Inf\ssmngservice\000D\1049\5.0\SQL\lsm.exe
() C:\Windows\Inf\ssmngservice\000D\1049\5.0\SQL\ssms.exe
() C:\Windows\Inf\ssmngservice\000D\1049\5.0\1049\5.0\mms.exe
() C:\Windows\Inf\ssmngservice\000D\1049\5.0\1049\5.0\spoolsv.exe

эти процессы от программы удаленного администрирования Вам врядли известны? 

 

А там и TeamViwer еще, и Radmin...

Ссылка на комментарий
Поделиться на другие сайты

Мы заметили в ленте, что пользователь 

papakarlo

оплатил  требования злоумышленников и провел оплату дешифровщика.

Ситуация и README.txt схожа с нашим

 

Скрин прилагаю

  

 

Стоит ли нам подождать пока появиться дешифратор с ключами по нашей проблеме?


Подозрительно то, что на всех ПК и серверах стоит Касперский Internet Security и он не обнаружил угрозы заражения

post-50012-0-08021400-1540444986_thumb.png

post-50012-0-67453200-1540445089_thumb.png

Ссылка на комментарий
Поделиться на другие сайты

Ключ шифрования уникальный для каждого компьютера и генерируется при работе шифратора, поэтому его дешифратор со встроенным ключом под его случай Вам не подойдет.

 

Лучше бы ответили на вопрос, заданный Вам, а не мониторили похожие темы.

Ссылка на комментарий
Поделиться на другие сайты

 

() C:\Windows\Inf\ssmngservice\0009\v3.5.56385\1049\5.0\wahiver.exe

() C:\Windows\Inf\ssmngservice\0009\v3.5.56385\1049\5.0\wasp.exe

() C:\Windows\Inf\ssmngservice\0009\v3.5.56385\1049\5.0\waspwing.exe

() C:\Windows\Inf\ssmngservice\0009\v3.5.56385\1049\5.0\wasp.exe

() C:\Windows\Inf\ssmngservice\000D\1049\5.0\SQL\lsm.exe
() C:\Windows\Inf\ssmngservice\000D\1049\5.0\SQL\ssms.exe
() C:\Windows\Inf\ssmngservice\000D\1049\5.0\1049\5.0\mms.exe
() C:\Windows\Inf\ssmngservice\000D\1049\5.0\1049\5.0\spoolsv.exe

эти процессы от программы удаленного администрирования Вам врядли известны? 

 

А там и TeamViwer еще, и Radmin...

 

Дaнные процессы нам неизвестны.

 

TeamViewer стоит для запуска вручную, а не службой.

Radmin тоже установлен для настройки самого сервера

 

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\Inf\ssmngservice\000D\1049\5.0\1049\5.0\mms.exe','');
 QuarantineFile('C:\Windows\Inf\ssmngservice\000D\1049\5.0\SQL\lsm.exe','');
 SetServiceStart('spoolmngservice', 4);
 DeleteService('spoolmngservice');
 SetServiceStart('dbssmgr', 4);
 DeleteService('dbssmgr');
 TerminateProcessByName('c:\windows\inf\ssmngservice\0009\v3.5.56385\1049\5.0\wahiver.exe');
 QuarantineFile('c:\windows\inf\ssmngservice\0009\v3.5.56385\1049\5.0\wahiver.exe','');
 TerminateProcessByName('c:\windows\inf\ssmngservice\000d\1049\5.0\sql\ssms.exe');
 QuarantineFile('c:\windows\inf\ssmngservice\000d\1049\5.0\sql\ssms.exe','');
 TerminateProcessByName('c:\windows\inf\ssmngservice\000d\1049\5.0\1049\5.0\spoolsv.exe');
 QuarantineFile('c:\windows\inf\ssmngservice\000d\1049\5.0\1049\5.0\spoolsv.exe','');
 TerminateProcessByName('c:\windows\inf\ssmngservice\000d\1049\5.0\1049\5.0\mms.exe');
 QuarantineFile('c:\windows\inf\ssmngservice\000d\1049\5.0\1049\5.0\mms.exe','');
 TerminateProcessByName('c:\windows\inf\ssmngservice\000d\1049\5.0\sql\lsm.exe');
 QuarantineFile('c:\windows\inf\ssmngservice\000d\1049\5.0\sql\lsm.exe','');
 DeleteFile('c:\windows\inf\ssmngservice\000d\1049\5.0\sql\lsm.exe','32');
 DeleteFile('c:\windows\inf\ssmngservice\000d\1049\5.0\1049\5.0\mms.exe','32');
 DeleteFile('c:\windows\inf\ssmngservice\000d\1049\5.0\1049\5.0\spoolsv.exe','32');
 DeleteFile('c:\windows\inf\ssmngservice\000d\1049\5.0\sql\ssms.exe','32');
 DeleteFile('c:\windows\inf\ssmngservice\0009\v3.5.56385\1049\5.0\wahiver.exe','32');
 DeleteFile('C:\Windows\Inf\ssmngservice\000D\1049\5.0\SQL\lsm.exe','32');
 DeleteFile('C:\Windows\Inf\ssmngservice\000D\1049\5.0\1049\5.0\mms.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты

Ответ загрузки по ссылке https://virusinfo.in...s.php?tid=37678

 

Результат загрузки Файл сохранён как 181026_042948_quarantine_5bd2983c18951.zip Размер файла 3984997 MD5 2ddd0dfb0d119df8a8910b08aa8e36b4 Файл закачан, спасибо!

 

Добавили свежие логи из autologgerа.

CollectionLog-2018.10.26-07.33.zip

Ссылка на комментарий
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
Tcpip\..\Interfaces\{1848D245-94CF-4BD8-A187-19CFF01416BA}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1
Tcpip\..\Interfaces\{BCA0E640-22C3-408E-843D-5F5E3462959B}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1
C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom
Startup: C:\Users\Али\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.txt [2018-10-22] ()
2018-10-22 04:55 - 2018-10-22 04:55 - 000001211 _____ C:\Users\Али\AppData\Local\Temp\README.txt
2018-10-22 04:54 - 2018-10-22 04:54 - 000001211 _____ C:\Users\Али\README.txt
2018-10-22 04:54 - 2018-10-22 04:54 - 000001211 _____ C:\Users\Али\AppData\README.txt
2018-10-22 04:54 - 2018-10-22 04:54 - 000001211 _____ C:\Users\Public\README.txt
2018-10-22 04:54 - 2018-10-22 04:54 - 000001211 _____ C:\Users\Public\Documents\README.txt
c:\windows\inf\ssmngservice
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • arx
      От arx
      Доброго времени суток. Поймали шифровальщика, зашифрованы документы, архивы, базы 1с. Система стала работать не корректно, не открываются приложения обычным способом, только от имени администратора. Взлом произошел путем подбора пароля к RDP, затем применили эксплоит, запустили CMD от админа и создали новую учетку с которой произошло шифрование. Есть скриншоты действий злоумышленников так же прилагаю. Прошу помощи по восстановлению работы системы и по возможности расшифровки файлов.
      Addition.txt FRST.txt Требования.txt Скрины.rar
    • Justbox
      От Justbox
      Добрый день!
      Найден шифровальщик 
      зашифровал файлы под именем имя_файла.id[00F2B780-3351].[qqtiq@tuta.io]
       
      примеры зашифрованных файлов.rar с файлом info.txt
       
      Определить Шифровальщик не получается, в связи с чем невозможно определить существует ли дешифровщик к нему.
      Нужна помощь! 
       
      примеры зашифрованных файлов.rar
    • Anastas Dzhabbarov
      От Anastas Dzhabbarov
      Здравствуйте! Шифровальщик зашифровал файлы на сервере. Возможно вы поможете  восстановить их? 
      FRST.txt Addition.txt
    • WL787878
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
    • Aleksandr63
      От Aleksandr63
      Здравствуйте! зашифровало всё
      Новая папка.7z FRST.txt
×
×
  • Создать...