Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Поймали шифровальщик *.lol Возможно-ли расшифровать?

_Пэ_
 Поделиться

Рекомендуемые сообщения

_Пэ_ Новичок

_Пэ_

Опубликовано
Опубликовано (изменено)

Здравствуйте.

Поймали вчера на сервер(через РДП) шифровальщик - все файлы кроме системных зашифрованы: вместо имени абракадабра.lol

Лог во вложении.

CollectionLog-2018.12.20-13.18.zip

Изменено пользователем _Пэ_
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

"Пофиксите" в HijackThis:

O22 - Task: \Microsoft\Windows\Windows Server Essentials\BPA Scheduled Scan - C:\Windows\system32\windowspowershell\v1.0\powershell.exe -EncodedCommand SQBuAHYAbwBrAGUALQBXAHMAcwBCAHAAYQBTAGMAYQBuAA== -NoLogo -NoProfile -NonInteractive
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\\Windows\\IME\\IMEB\\exp.bat

 

после этого сделайте свежие логи Автологером.


и почему логи делали из безопасного режима? Свежие логи сделайте из обычного.

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Сами вместо DNS прописали 127.0.0.1 ?

Radmin - как понимаю ваш?

C:\HELP HELP HELP.TXT

и пример зашифрованного файла прикрепите к сообщению.

 

 

+

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
 then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
 else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
  ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников https://disk.yandex.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ , http://file.karelia.ru/ и дайте на него ссылку в Вашей теме.
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
 


PS. это вариация Scarab, так что шансов не очень много. Только если он не до конца отработал.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alexlaev
      Поймали шифровальщик
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • Nik10
      Возможно ли расшифровать зашифрованные файлы
      Автор Nik10
      Возможно ли расшифровать зашифрованые файлы. Предположительно mimic

      В архивы 2 экзэмпляра зашифрованных файла, результаты утилиты FRST и записка о выкупе. Оригинал ВПО не найден.
      ransomware_1c.zip
    • DanilDanil
      Поймал на VM шифровальщик. Предположительно Mimic (N3ww4v3)
      Автор DanilDanil
      Словил на VM шифровальщик. GPT в deepsearch предположил, что это mimic ( N3ww4v3) - на основе проанализированных зашифрованных файлов и оставленной злоумышленниками записке. Зашифрованны базы данных. Бэкапов не было...
      Есть ли возможность дешифровать? Вот это оставили злоумышленники. Зашифрованный файл прикрепить не могу, форум ограничивает.
      Important_Notice.txt
    • plak
      шифровальщик, возможно Proton/shinra
      Автор plak
      один из компьютеров в сети подцепил шифровальщик. зашифрована масса файлов как на самом пк, так и на папках с общим доступом на другом пк (все имеют формат .1cxz). ос не запустилась при включении. восстановил загрузчик, ос работает, нашел сам .exe (название содержит текст из вымогателя), по почте из файла вымогателя нашел упоминание на гитхабе в файле shinra. nomoreransom и id-ransomware ничего не находят. ос на зараженном пк пока не трогаю, но он может понадобиться, поэтому пока есть время, могу попробовать что-то поискать на нем, если укажете где искать. прикладываю
      1. результаты Farbar Recovery Scan Tool
      2. зашифрованные файлы
      3. шифровальщик
      4. текст вымогателя
      пароль на все файлы virus
      shifr.rar
    • PsuchO
      Поймал шифровальщик X77C, лёг весь прод, слёзно прошу помощи
      Автор PsuchO
      Всем привет, намедне поймал шифровальщик X77C, эта скотина успела побить все файлы, до которых дотянулась.
      В итоге у всех файлов изменились имена tb73.8382_front.psd.[ID-BAE12624][recovery-data09@protonmail.com].mz4, а оригинал вот tb73.8382_front.psd
      Плюсом к этому в каждой папке лежал тектовик со следующим описанием
       
      Открыл зашифрованный ps1 скрипт и вот что внутри
       
      Всё это на виртуалках на удалённом хосте, при этом странно, что сам хост не заразили, а вот виртуалки внутри него - заразили, как это вышло и почему, фиг знает.
      Поэтому подрубить проверяльщики через внешние USB и прочее не получится, как я понимаю. Буду рад любым советам и любой помощи.
      Прикладываю зашифрованный файл
      Front.psd.[ID-BAE12624][recovery-data09@protonmail.com].mz4.zip
×
×
  • Создать...