Перейти к содержанию

Просьба помочь с шифровальщиком tapok@tuta.io.ver-CL 1.5.1.0 doubleoffset


Рекомендуемые сообщения

Зловред пролез вероятно по РДП, подобрав пасс от доменной учетки.

Зашифровал файлы на виртуалке, куда смог пролезть, и на NAS-сервере, в каталогах где был доступ.

 

В закрепе лог АВЗ, и архив с файлами зловреда и примерами зашифрованых файлов (пасс на архив aes-123)

 

Будем рады любой помощи, возможно адекватное материальное вознаграждение за успешную дешифровку.

CollectionLog-2019.01.24-10.16.zip

tapok.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\nb602~1.mas\appdata\local\temp\rlewrjdewo.exe');
 QuarantineFile('C:\APPS\BOGDAN-VM01\alice_warmup.ps1', '');
 QuarantineFile('c:\users\nb602~1.mas\appdata\local\temp\rlewrjdewo.exe', '');
 DeleteFile('c:\users\nb602~1.mas\appdata\local\temp\rlewrjdewo.exe', '');
 DeleteFile('C:\Users\NB602~1.MAS\AppData\Local\Temp\RLEWRJDEWO.exe', '32');
 DeleteFile('C:\Users\NB602~1.MAS\AppData\Local\Temp\RLEWRJDEWO.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '1050919941', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '1050919941', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

После перезагрузки, выполните такой скрипт:

 

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

"Пофиксите" в HijackThis:

O22 - Task: VssDataRestore - C:\Windows\system32\vssadmin.exe delete shadows /all /quiet
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\nb602~1.mas\appdata\local\temp\rlewrjdewo.exe');
 QuarantineFile('C:\APPS\BOGDAN-VM01\alice_warmup.ps1', '');
 QuarantineFile('c:\users\nb602~1.mas\appdata\local\temp\rlewrjdewo.exe', '');
 DeleteFile('c:\users\nb602~1.mas\appdata\local\temp\rlewrjdewo.exe', '');
 DeleteFile('C:\Users\NB602~1.MAS\AppData\Local\Temp\RLEWRJDEWO.exe', '32');
 DeleteFile('C:\Users\NB602~1.MAS\AppData\Local\Temp\RLEWRJDEWO.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '1050919941', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '1050919941', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

После перезагрузки, выполните такой скрипт:

 

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

"Пофиксите" в HijackThis:

O22 - Task: VssDataRestore - C:\Windows\system32\vssadmin.exe delete shadows /all /quiet
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

 

 

Добрый день!

при попытке выполнения скрипта вылетает ошибка (скрин в прикрепленных файлах)

post-52733-0-33849900-1548317338_thumb.png

Ссылка на сообщение
Поделиться на другие сайты

1. Не цитируйте, пожалуйста, всю переписку. Используйте форму быстрого ответа внизу.

 

2. AVZ следует использовать эту - C:\rescue\AutoLogger-test\AutoLogger\AVZ\avz.exe

Ссылка на сообщение
Поделиться на другие сайты

Номер KLAN вы сообщили, а полученный ответ - нет.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Извиняюсь.

Логи FarBar прикрепил,

и вот ответ из письма с KLAN.

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В следующих файлах обнаружен вредоносный код:
rlewrjdewo.exe - Trojan-Ransom.Win32.Agent.autp

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.
        
Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com https://www.securelist.com"

Addition.txt

FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKLM-x32\...\Run: [1095281] => 1095281
    Task: {50BF920D-8A24-45EA-BBD4-D91CCF43EC37} - System32\Tasks\SystemDiagnostics => C:\Users\n.maslov\AppData\Roaming\Microsoft\Licenses\conhost.exe
    AlternateDataStreams: C:\Users\Public\DRM:وهو يتحرك [48]
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

 

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

Смените важные пароли и проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на сообщение
Поделиться на другие сайты

Спасибо!

 

В запрос посоветуете прикрепить какие-либо файлы, или специалисты техподдержки сами запросят необходимое?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От YarKadr
      https://cloud.mail.ru/public/1QHL/3xDkyHNFg Ссылка на архив с файлами шифрованными и не шифрованными. Просьба помочь с расшифровкой.
    • От aleksandr86
      Добрый день.
      Прошу помощи!!!!!
      Зашифровало все файлы на сервере, утилиту Farbar Recovery Scan Too скачал и запустил там. 2 файла зашифрованные, требование и результат проверки данной утилиты в прикрепленном архиве. Буду с нетерпением ждать от вас ответа!
      Вирус тоже успел сохранить, если потребуется готов выслать куда скажите
       
       
      archive.zip
       
    • От Njgjkm
      Доброго дня, несмотря на все сомнения в этом.
      Сегодня ночью некий скрипт с адреса 45.146.166.219 (вроде, Великобритания, хотя это и не важно) сумел подобрать пароль к одной учётке с админскими правами (каюсь, мой косяк, выдал обслуживающей организации аккаунт, но не проконтролировал смену простого стандартного пароля) и зашифровал все файлы, добавив к именам .id-<XXXXXXXX>.[dc1@imap.cc].DC
      Здесь на форуме (да и в целом в гугле) я не нашёл упоминаний подобной конструкции. Сталкивался ли кто-нибудь с данным зверем, и можно ли его вылечить?
       
      P.S. Да, если интересно, у меня есть exe-шник, который был запущен во время "обработки" файлов. Запускать его я, конечно же не хочу.
    • От nik_koval
      компьютер был заражен трояном вида cryakl(предположительно) и зашифровал все пользовательские файлы на компьютере. каждый файл был дописан этим - [paybackformistake@qq.com].[BD72D4C5-98B51E94]
      пароль к архивам -   nik-pc
      crypted_files_and_ransom_note.zip logs_frst_addition.zip
    • От DesignerD
      Добрый день!
      Прошу о помощи,
      Зашифрованы все файлы на четырёх разделах двух жестких дисков, даже системные, в винду загрузиться возможности нет.
      Все файлы без расширения, так же в каждой папке лежит txt записка с требованиями.
      Шифровальщик, предположительно, был пойман по рдп. 
       
      К письму прикрепляю архив с двумя файлами и запиской.
       
      Заранее, спасибо.
      files.rar
×
×
  • Создать...