Перейти к содержанию

Атака на сервера вин шифровальщика Fname Doubleoffset ver-CL 1.5.1.0

Neo0
 Поделиться

Рекомендуемые сообщения

Neo0

Neo0

Опубликовано
Опубликовано

Огромное спасибо всем, кто помогал мне с зараженным компьютером. Все файлы одного из шифровальщиков успешно расшифрованы!!

Помогли с расшифровкой файлов типа email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-123.reg.doubleoffset

По другому шифровальщику написал в ЛК по вашей инструкции.

 

Приветствую,

Столкнулись с тем же fname doubleoffset и версией 1.5.1.0

Пример имени файла : email-tapok@tuta.io.ver-CL 1.5.1.0.id-611326627-376135554388954347027537.fname-VisaScanningApplication.exe.doubleoffset

Есть варианты не заражённых файлов и их заражённых версий, можно ли брутфорсом найти ключ и есть ил утилита дешифровки?

Как восстанавливали?

Neo0

Neo0

Опубликовано
  • Автор
Опубликовано (изменено)

Приветствую,

Сегодня ночью были атакованы несколько серверов вин через дырку в RDP и создание левых локал учёток.

Троян положен был в папку созданного пользователя AppData-Local-Temp, кое где этот exe файл сохранён для разбирательства, имя у него рандомное.

Атака в 3:33 к 4:16 или 4:30 уже был сформирован файл с id сервера для злоумышленника. 

Прилагаю автолог, а так же архив с шифрованым файлом и его оригинальной копией, возможно если алгоритм не сильный поможет брутфорс?

На этом же форуме встречал успешное решение проблемы например тут: https://forum.kasperskyclub.ru/index.php?showtopic=60750

На момент шифрования был на сервере рабочий Kaspersky Endpoint Security для бизнеса – Расширенный Russian Edition kbwtypbz 50-99.

 

P.S. Злоумышленник просит 2т$. Платить нет желания.

 

Сообщение от модератора thyrex
Темы объединены

CollectionLog-2019.01.25-12.24.zip

files_for_brutforce.7z

Изменено пользователем thyrex
regist

regist

Опубликовано
Опубликовано

@Neo0, Порядок оформления запроса о помощи
Особенно внимательно пункт №3 прочитайте.

А насчёт рассшифровки ари наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
 

regist

regist

Опубликовано
Опубликовано

У вас там похоже ещё майнер. Эти файлы вам знакомы?

C:\Program Files\MinerGate\minergate.exe
C:\Program Files\HP\NCU\cpqteam.exe

"Пофиксите" в HijackThis:

O4 - HKU\S-1-5-21-4244453346-3868090124-2167917787-4957\..\Policies\Explorer\Run: [1] = c:\windows\scripts\desktop1.js  (file missing) (User 'megatecb')
O4 - HKU\S-1-5-21-4244453346-3868090124-2167917787-5010\..\Policies\Explorer\Run: [1] = c:\windows\scripts\desktop1.js  (file missing) (User 'magtravel')

 

соберите свежие логи.

 

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
 

Neo0

Neo0

Опубликовано
  • Автор
Опубликовано

@Neo0, Порядок оформления запроса о помощи

Особенно внимательно пункт №3 прочитайте.

А насчёт рассшифровки ари наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

 

Сделал по форме в новой теме форума https://forum.kasperskyclub.ru/index.php?showtopic=61738, на сайте суппорта в companyaccount.kaspersky.com заявку тоже создал

Neo0

Neo0

Опубликовано
  • Автор
Опубликовано

У вас там похоже ещё майнер. Эти файлы вам знакомы?

C:\Program Files\MinerGate\minergate.exe
C:\Program Files\HP\NCU\cpqteam.exe

"Пофиксите" в HijackThis:

O4 - HKU\S-1-5-21-4244453346-3868090124-2167917787-4957\..\Policies\Explorer\Run: [1] = c:\windows\scripts\desktop1.js  (file missing) (User 'megatecb')
O4 - HKU\S-1-5-21-4244453346-3868090124-2167917787-5010\..\Policies\Explorer\Run: [1] = c:\windows\scripts\desktop1.js  (file missing) (User 'magtravel')

соберите свежие логи.

 

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

Да, эти майнеры наши, отношения они к проблеме не имеют. Записи в реестре с указанием учёток megatecb и magtravel точно нужно? Потому что троян работал от имени другой учётки, а эти я знаю и они рабочие, как и js скрипты.

regist

regist

Опубликовано
Опубликовано

 

 


а эти я знаю и они рабочие, как и js скрипты.
раз скрипты знакомы, то не нужно фиксить.

Но всё-таки проверьте, скрипта по этому пути похоже уже нет, так что будет пытаться открыть то чего нет.

Neo0

Neo0

Опубликовано
  • Автор
Опубликовано

 

а эти я знаю и они рабочие, как и js скрипты.

раз скрипты знакомы, то не нужно фиксить.

Но всё-таки проверьте, скрипта по этому пути похоже уже нет, так что будет пытаться открыть то чего нет.

 

Хорошо. Есть ли какие то утилиты куда можно подставить оригинал файла и его зашифрованную версию и попробовать подбирать ключи?

regist

regist

Опубликовано
Опубликовано

 

 


создайте запрос на расшифровку.
и там спрашивайте. Если что узнаете поделитесь с нами :).
Neo0

Neo0

Опубликовано
  • Автор
Опубликовано (изменено)

Ну итог как обычно, ничего нового:
 
"Анализ показал. что присланные файлы были зашифрованы троянской программой Trojan-Ransom.Win32.Cryakl. Я сожалею, но на данный момент у нас нет ключа для расшифровки данного типа файлов. Мы продолжаем исследование алгоритмов шифрования и есть вероятность, что будущем сможем предоставить Вам утилиту для дешифровки файлов. "
 
Короче восстановил всё из бэкапов

Изменено пользователем regist

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • imagic
      [РЕШЕНО] Ransomware cryakl 1.5.1
      Автор imagic
      Добрый день.
      Попал по раздаче на ransomware. В вашем форуме заметил лечение конкретного пользователя от данного шифровальщика - тема blackdragon43@yahoo.com. Как я понимаю, версия та же, 1.5.1.0. Таким образом, у меня есть шанс восстановить?
       
      Пример названия файла:
      email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-Autoruns.exe.doubleoffset
       
      Порадуйте меня, пожалуйста, чем сможете 
       
      На данный момент читаю порядок оформления запроса о помощи. По мере возможности обновлю тему.
       
      Кстати, уже назрел вопрос: я извлёк жёсткий диск из жертвы и открыл его через USB адаптер на ноуте. Соответственно, загрузка произведена с другой системы, незаражённой. Какие требования в данном случае для корректной идентификации проблеммы?
    • rofar
      шифровальщик Doubleoffset
      Автор rofar
      Здравствуйте! Шифровальщик зашифровал файлы на сервере. Возможно вы поможете попробовать восстановить их? 
      Есть пара файлов - зашифрованный и такой как он был до шифровки, их прикреплять нужно?
    • G0sh@
      Помогите, пожалуйста, с расшифровкой.
      Автор G0sh@
      Здравствуйте! Помогите, пожалуйста, с расшифровкой email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-2792387762-226255123831548241453476.fname-1 этаж вход.jpg(2).doubleoffset
       

      Сообщение от модератора Mark D. Pearlstone Перемещено из темы. virus.7z
    • Art168
      Поймал шифровальщик (email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-1019697497-27.02.2018 11@45@06
      Автор Art168
      Здравствуйте,
      Поймал шифровальщик (email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-1019697497-27.02.2018 11@45@061761572.fname-20130228.xml).
      Зашифровал весь комп и HDD-хранилище. Винду переустановил, а вот hdd-харнилище нет. Помогите, пожалуйста, расшифровать файлы на hdd.
      Заранее благодарен.
       

      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • igmakarik
      [РЕШЕНО] Зашифровались файлы email-biger@x-mail.pro.ver-CL 1.5.1.0
      Автор igmakarik
      Добрый день! Возникла проблема с шифрованием файлов в файловом хранилище. В основном, оказались зашифрованы jpeg. На компьютере переустановил систему. Есть ли какие-то решения данной проблемы? Заранее, огромное спасибо за помощь.
      email-biger@x-mail.pro.ver-CL 1.5.1.0.rar
×
×
  • Создать...