Перейти к содержанию

Атака на сервера вин шифровальщика Fname Doubleoffset ver-CL 1.5.1.0


Рекомендуемые сообщения

Огромное спасибо всем, кто помогал мне с зараженным компьютером. Все файлы одного из шифровальщиков успешно расшифрованы!!

Помогли с расшифровкой файлов типа email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-123.reg.doubleoffset

По другому шифровальщику написал в ЛК по вашей инструкции.

 

Приветствую,

Столкнулись с тем же fname doubleoffset и версией 1.5.1.0

Пример имени файла : email-tapok@tuta.io.ver-CL 1.5.1.0.id-611326627-376135554388954347027537.fname-VisaScanningApplication.exe.doubleoffset

Есть варианты не заражённых файлов и их заражённых версий, можно ли брутфорсом найти ключ и есть ил утилита дешифровки?

Как восстанавливали?

Ссылка на комментарий
Поделиться на другие сайты

Приветствую,

Сегодня ночью были атакованы несколько серверов вин через дырку в RDP и создание левых локал учёток.

Троян положен был в папку созданного пользователя AppData-Local-Temp, кое где этот exe файл сохранён для разбирательства, имя у него рандомное.

Атака в 3:33 к 4:16 или 4:30 уже был сформирован файл с id сервера для злоумышленника. 

Прилагаю автолог, а так же архив с шифрованым файлом и его оригинальной копией, возможно если алгоритм не сильный поможет брутфорс?

На этом же форуме встречал успешное решение проблемы например тут: https://forum.kasperskyclub.ru/index.php?showtopic=60750

На момент шифрования был на сервере рабочий Kaspersky Endpoint Security для бизнеса – Расширенный Russian Edition kbwtypbz 50-99.

 

P.S. Злоумышленник просит 2т$. Платить нет желания.

 

Сообщение от модератора thyrex
Темы объединены

CollectionLog-2019.01.25-12.24.zip

files_for_brutforce.7z

Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты

@Neo0, Порядок оформления запроса о помощи
Особенно внимательно пункт №3 прочитайте.

А насчёт рассшифровки ари наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
 

Ссылка на комментарий
Поделиться на другие сайты

У вас там похоже ещё майнер. Эти файлы вам знакомы?

C:\Program Files\MinerGate\minergate.exe
C:\Program Files\HP\NCU\cpqteam.exe

"Пофиксите" в HijackThis:

O4 - HKU\S-1-5-21-4244453346-3868090124-2167917787-4957\..\Policies\Explorer\Run: [1] = c:\windows\scripts\desktop1.js  (file missing) (User 'megatecb')
O4 - HKU\S-1-5-21-4244453346-3868090124-2167917787-5010\..\Policies\Explorer\Run: [1] = c:\windows\scripts\desktop1.js  (file missing) (User 'magtravel')

 

соберите свежие логи.

 

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
 

Ссылка на комментарий
Поделиться на другие сайты

@Neo0, Порядок оформления запроса о помощи

Особенно внимательно пункт №3 прочитайте.

А насчёт рассшифровки ари наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

 

Сделал по форме в новой теме форума https://forum.kasperskyclub.ru/index.php?showtopic=61738, на сайте суппорта в companyaccount.kaspersky.com заявку тоже создал

Ссылка на комментарий
Поделиться на другие сайты

У вас там похоже ещё майнер. Эти файлы вам знакомы?

C:\Program Files\MinerGate\minergate.exe
C:\Program Files\HP\NCU\cpqteam.exe

"Пофиксите" в HijackThis:

O4 - HKU\S-1-5-21-4244453346-3868090124-2167917787-4957\..\Policies\Explorer\Run: [1] = c:\windows\scripts\desktop1.js  (file missing) (User 'megatecb')
O4 - HKU\S-1-5-21-4244453346-3868090124-2167917787-5010\..\Policies\Explorer\Run: [1] = c:\windows\scripts\desktop1.js  (file missing) (User 'magtravel')

соберите свежие логи.

 

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

Да, эти майнеры наши, отношения они к проблеме не имеют. Записи в реестре с указанием учёток megatecb и magtravel точно нужно? Потому что троян работал от имени другой учётки, а эти я знаю и они рабочие, как и js скрипты.

Ссылка на комментарий
Поделиться на другие сайты

 

 


а эти я знаю и они рабочие, как и js скрипты.
раз скрипты знакомы, то не нужно фиксить.

Но всё-таки проверьте, скрипта по этому пути похоже уже нет, так что будет пытаться открыть то чего нет.

Ссылка на комментарий
Поделиться на другие сайты

 

а эти я знаю и они рабочие, как и js скрипты.

раз скрипты знакомы, то не нужно фиксить.

Но всё-таки проверьте, скрипта по этому пути похоже уже нет, так что будет пытаться открыть то чего нет.

 

Хорошо. Есть ли какие то утилиты куда можно подставить оригинал файла и его зашифрованную версию и попробовать подбирать ключи?

Ссылка на комментарий
Поделиться на другие сайты

Ну итог как обычно, ничего нового:
 
"Анализ показал. что присланные файлы были зашифрованы троянской программой Trojan-Ransom.Win32.Cryakl. Я сожалею, но на данный момент у нас нет ключа для расшифровки данного типа файлов. Мы продолжаем исследование алгоритмов шифрования и есть вероятность, что будущем сможем предоставить Вам утилиту для дешифровки файлов. "
 
Короче восстановил всё из бэкапов

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • LeraB
      От LeraB
      Приветствую.
      Поймали шифровальщика, который работает до сих.
      Ничего не переустанавливали и не трогали, проверяем только доступность компьютеров, их работу и ищем, где он еще может работать. Если понятно, что шифровальщик еще где-то работает, то отключаем этот сервер/компьютер.
      Все, что можно спасти, копируем.
      Пострадала почти вся сеть, не только лок.пк и сервера, но и NAS (именно smb)
      Шифровальщик затронул большинство нужных файлов, но не все.
      Логи собрали с одного сервера, примеры файлов с него же.
      Файл шифровальщика пока найти не удалось, как и выяснить все остальное, кроме того, как оно работает с ночи примерно с 00:00 12.12.2024
      FRST.txt Addition.txt архив.zip
    • lslx
      От lslx
      Взломали Сервер server2012R2 шифровальщик ooo4ps
      часть файлов зашифровано ,но больше беспокоит что два диска зашифрованы битлокером
    • slot9543
      От slot9543
      Поймали шифровальщика на несколько виртуальных серверов которые находятся на одном гипервизоре VMware.
      Собрал информацию для одного из серверов (есть еще второй зашифрованный, но он пока не запускается).

      В систему проникли основательно, удалили все вируталки с бекапами.
      Бэкапов нет, очень хочется расшифровать.

      В системе присутствует файл C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE
      Упаковал его в архив с паролем virus и готов скинуть ссылку на этот архив в облаке.


      Заранее спасибо!
      ЗашифрованныеФайлы.zip Addition.txt FRST.txt
    • chernikovd
      От chernikovd
      Добрый день!
      поймали шифровальщика.. утром сотрудники не смогли запустить 1с, позвонили мне я подключился к серверу и понял, что файлы зашифрованны, зашел в папку с базами основная база весит20Г и она не была зашифрована.. я удивился и начал ее копировать на другой комп оставалось минут 10 и сервер выключился. после того как приехал и включил сервер обнаружил зашифрованный файл и не зашифрованный я скопировал не зашифрованный и его логи и базу данных удалось подключить. Так же взломали комп с бэкапами и испортили файловую систему. очень хочется расшифровать все.. на самом деле зашифровано 3 сервера прислал инфу только по одному
       
      спасибо
      ЗашифрованыеФайлы.7z Addition.txt FRST.txt
    • Anastas Dzhabbarov
      От Anastas Dzhabbarov
      Здравствуйте! Шифровальщик зашифровал файлы на сервере. Возможно вы поможете  восстановить их? 
      FRST.txt Addition.txt
×
×
  • Создать...