Атака на сервера вин шифровальщика Fname Doubleoffset ver-CL 1.5.1.0

[Neo0 0]

Огромное спасибо всем, кто помогал мне с зараженным компьютером. Все файлы одного из шифровальщиков успешно расшифрованы!!

Помогли с расшифровкой файлов типа email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-123.reg.doubleoffset

По другому шифровальщику написал в ЛК по вашей инструкции.

 

Приветствую,

Столкнулись с тем же fname doubleoffset и версией 1.5.1.0

Пример имени файла : email-tapok@tuta.io.ver-CL 1.5.1.0.id-611326627-376135554388954347027537.fname-VisaScanningApplication.exe.doubleoffset

Есть варианты не заражённых файлов и их заражённых версий, можно ли брутфорсом найти ключ и есть ил утилита дешифровки?

Как восстанавливали?

[Neo0 0]

Приветствую,

Сегодня ночью были атакованы несколько серверов вин через дырку в RDP и создание левых локал учёток.

Троян положен был в папку созданного пользователя AppData-Local-Temp, кое где этот exe файл сохранён для разбирательства, имя у него рандомное.

Атака в 3:33 к 4:16 или 4:30 уже был сформирован файл с id сервера для злоумышленника. 

Прилагаю автолог, а так же архив с шифрованым файлом и его оригинальной копией, возможно если алгоритм не сильный поможет брутфорс?

На этом же форуме встречал успешное решение проблемы например тут: https://forum.kasperskyclub.ru/index.php?showtopic=60750

На момент шифрования был на сервере рабочий Kaspersky Endpoint Security для бизнеса – Расширенный Russian Edition kbwtypbz 50-99.

 

P.S. Злоумышленник просит 2т$. Платить нет желания.

 

Сообщение от модератора thyrex

Темы объединены

CollectionLog-2019.01.25-12.24.zip

files_for_brutforce.7z

Изменено 25 января, 2019 пользователем thyrex

[regist 618]

@Neo0, Порядок оформления запроса о помощи
Особенно внимательно пункт №3 прочитайте.

А насчёт рассшифровки ари наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
 

[regist 618]

У вас там похоже ещё майнер. Эти файлы вам знакомы?

C:\Program Files\MinerGate\minergate.exe
C:\Program Files\HP\NCU\cpqteam.exe

"Пофиксите" в HijackThis:

O4 - HKU\S-1-5-21-4244453346-3868090124-2167917787-4957\..\Policies\Explorer\Run: [1] = c:\windows\scripts\desktop1.js  (file missing) (User 'megatecb')
O4 - HKU\S-1-5-21-4244453346-3868090124-2167917787-5010\..\Policies\Explorer\Run: [1] = c:\windows\scripts\desktop1.js  (file missing) (User 'magtravel')

 

соберите свежие логи.

 

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
 

[Neo0 0]

@Neo0, Порядок оформления запроса о помощи

Особенно внимательно пункт №3 прочитайте.

А насчёт рассшифровки ари наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

 

Сделал по форме в новой теме форума https://forum.kasperskyclub.ru/index.php?showtopic=61738, на сайте суппорта в companyaccount.kaspersky.com заявку тоже создал

[Neo0 0]

У вас там похоже ещё майнер. Эти файлы вам знакомы?

C:\Program Files\MinerGate\minergate.exe
C:\Program Files\HP\NCU\cpqteam.exe

"Пофиксите" в HijackThis:

O4 - HKU\S-1-5-21-4244453346-3868090124-2167917787-4957\..\Policies\Explorer\Run: [1] = c:\windows\scripts\desktop1.js  (file missing) (User 'megatecb')
O4 - HKU\S-1-5-21-4244453346-3868090124-2167917787-5010\..\Policies\Explorer\Run: [1] = c:\windows\scripts\desktop1.js  (file missing) (User 'magtravel')

соберите свежие логи.

 

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

Да, эти майнеры наши, отношения они к проблеме не имеют. Записи в реестре с указанием учёток megatecb и magtravel точно нужно? Потому что троян работал от имени другой учётки, а эти я знаю и они рабочие, как и js скрипты.

[regist 618]

 

 

а эти я знаю и они рабочие, как и js скрипты.

раз скрипты знакомы, то не нужно фиксить.

Но всё-таки проверьте, скрипта по этому пути похоже уже нет, так что будет пытаться открыть то чего нет.

[Neo0 0]

 

а эти я знаю и они рабочие, как и js скрипты.

раз скрипты знакомы, то не нужно фиксить.

Но всё-таки проверьте, скрипта по этому пути похоже уже нет, так что будет пытаться открыть то чего нет.

 

Хорошо. Есть ли какие то утилиты куда можно подставить оригинал файла и его зашифрованную версию и попробовать подбирать ключи?

[regist 618]

 

 

создайте запрос на расшифровку.

и там спрашивайте. Если что узнаете поделитесь с нами .

[Neo0 0]

Ну итог как обычно, ничего нового:
 
"Анализ показал. что присланные файлы были зашифрованы троянской программой Trojan-Ransom.Win32.Cryakl. Я сожалею, но на данный момент у нас нет ключа для расшифровки данного типа файлов. Мы продолжаем исследование алгоритмов шифрования и есть вероятность, что будущем сможем предоставить Вам утилиту для дешифровки файлов. "
 
Короче восстановил всё из бэкапов

Изменено 1 февраля, 2019 пользователем regist