Перейти к содержанию

Просьба помочь с шифровальщиком tapok@tuta.io.ver-CL 1.5.1.0 doubleoffset

IvanVasil
 Поделиться

Рекомендуемые сообщения

IvanVasil

IvanVasil

Опубликовано
Опубликовано

Зловред пролез вероятно по РДП, подобрав пасс от доменной учетки.

Зашифровал файлы на виртуалке, куда смог пролезть, и на NAS-сервере, в каталогах где был доступ.

 

В закрепе лог АВЗ, и архив с файлами зловреда и примерами зашифрованых файлов (пасс на архив aes-123)

 

Будем рады любой помощи, возможно адекватное материальное вознаграждение за успешную дешифровку.

CollectionLog-2019.01.24-10.16.zip

tapok.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\nb602~1.mas\appdata\local\temp\rlewrjdewo.exe');
 QuarantineFile('C:\APPS\BOGDAN-VM01\alice_warmup.ps1', '');
 QuarantineFile('c:\users\nb602~1.mas\appdata\local\temp\rlewrjdewo.exe', '');
 DeleteFile('c:\users\nb602~1.mas\appdata\local\temp\rlewrjdewo.exe', '');
 DeleteFile('C:\Users\NB602~1.MAS\AppData\Local\Temp\RLEWRJDEWO.exe', '32');
 DeleteFile('C:\Users\NB602~1.MAS\AppData\Local\Temp\RLEWRJDEWO.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '1050919941', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '1050919941', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

После перезагрузки, выполните такой скрипт:

 

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

"Пофиксите" в HijackThis:

O22 - Task: VssDataRestore - C:\Windows\system32\vssadmin.exe delete shadows /all /quiet
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

IvanVasil

IvanVasil

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\nb602~1.mas\appdata\local\temp\rlewrjdewo.exe');
 QuarantineFile('C:\APPS\BOGDAN-VM01\alice_warmup.ps1', '');
 QuarantineFile('c:\users\nb602~1.mas\appdata\local\temp\rlewrjdewo.exe', '');
 DeleteFile('c:\users\nb602~1.mas\appdata\local\temp\rlewrjdewo.exe', '');
 DeleteFile('C:\Users\NB602~1.MAS\AppData\Local\Temp\RLEWRJDEWO.exe', '32');
 DeleteFile('C:\Users\NB602~1.MAS\AppData\Local\Temp\RLEWRJDEWO.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '1050919941', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '1050919941', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

После перезагрузки, выполните такой скрипт:

 

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

"Пофиксите" в HijackThis:

O22 - Task: VssDataRestore - C:\Windows\system32\vssadmin.exe delete shadows /all /quiet
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

 

 

Добрый день!

при попытке выполнения скрипта вылетает ошибка (скрин в прикрепленных файлах)

post-52733-0-33849900-1548317338_thumb.png

Sandor

Sandor

Опубликовано
Опубликовано

1. Не цитируйте, пожалуйста, всю переписку. Используйте форму быстрого ответа внизу.

 

2. AVZ следует использовать эту - C:\rescue\AutoLogger-test\AutoLogger\AVZ\avz.exe

Sandor

Sandor

Опубликовано
Опубликовано

Номер KLAN вы сообщили, а полученный ответ - нет.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

IvanVasil

IvanVasil

Опубликовано
  • Автор
Опубликовано

Извиняюсь.

Логи FarBar прикрепил,

и вот ответ из письма с KLAN.

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В следующих файлах обнаружен вредоносный код:
rlewrjdewo.exe - Trojan-Ransom.Win32.Agent.autp

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.
        
Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com https://www.securelist.com"

Addition.txt

FRST.txt

Sandor

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKLM-x32\...\Run: [1095281] => 1095281
Task: {50BF920D-8A24-45EA-BBD4-D91CCF43EC37} - System32\Tasks\SystemDiagnostics => C:\Users\n.maslov\AppData\Roaming\Microsoft\Licenses\conhost.exe
AlternateDataStreams: C:\Users\Public\DRM:وهو يتحرك [48]
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

 

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

Смените важные пароли и проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

IvanVasil

IvanVasil

Опубликовано
  • Автор
Опубликовано

Спасибо!

 

В запрос посоветуете прикрепить какие-либо файлы, или специалисты техподдержки сами запросят необходимое?

Sandor

Sandor

Опубликовано
Опубликовано

Прикрепите пару зашифрованных, записку readme и укажите ссылку на эту тему.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • imagic
      [РЕШЕНО] Ransomware cryakl 1.5.1
      Автор imagic
      Добрый день.
      Попал по раздаче на ransomware. В вашем форуме заметил лечение конкретного пользователя от данного шифровальщика - тема blackdragon43@yahoo.com. Как я понимаю, версия та же, 1.5.1.0. Таким образом, у меня есть шанс восстановить?
       
      Пример названия файла:
      email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-Autoruns.exe.doubleoffset
       
      Порадуйте меня, пожалуйста, чем сможете 
       
      На данный момент читаю порядок оформления запроса о помощи. По мере возможности обновлю тему.
       
      Кстати, уже назрел вопрос: я извлёк жёсткий диск из жертвы и открыл его через USB адаптер на ноуте. Соответственно, загрузка произведена с другой системы, незаражённой. Какие требования в данном случае для корректной идентификации проблеммы?
    • rofar
      шифровальщик Doubleoffset
      Автор rofar
      Здравствуйте! Шифровальщик зашифровал файлы на сервере. Возможно вы поможете попробовать восстановить их? 
      Есть пара файлов - зашифрованный и такой как он был до шифровки, их прикреплять нужно?
    • G0sh@
      Помогите, пожалуйста, с расшифровкой.
      Автор G0sh@
      Здравствуйте! Помогите, пожалуйста, с расшифровкой email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-2792387762-226255123831548241453476.fname-1 этаж вход.jpg(2).doubleoffset
       

      Сообщение от модератора Mark D. Pearlstone Перемещено из темы. virus.7z
    • Art168
      Поймал шифровальщик (email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-1019697497-27.02.2018 11@45@06
      Автор Art168
      Здравствуйте,
      Поймал шифровальщик (email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-1019697497-27.02.2018 11@45@061761572.fname-20130228.xml).
      Зашифровал весь комп и HDD-хранилище. Винду переустановил, а вот hdd-харнилище нет. Помогите, пожалуйста, расшифровать файлы на hdd.
      Заранее благодарен.
       

      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • igmakarik
      [РЕШЕНО] Зашифровались файлы email-biger@x-mail.pro.ver-CL 1.5.1.0
      Автор igmakarik
      Добрый день! Возникла проблема с шифрованием файлов в файловом хранилище. В основном, оказались зашифрованы jpeg. На компьютере переустановил систему. Есть ли какие-то решения данной проблемы? Заранее, огромное спасибо за помощь.
      email-biger@x-mail.pro.ver-CL 1.5.1.0.rar
×
×
  • Создать...