Файлы зашифрованы с расширением .[madbad@foxmail.com].usa

[vlasyukmag]

Здравствуйте, помогите расшифровать файлы все документы базы данных зашифрованы расширение .id-66947249.[madbad@foxmail.com].usa

 

Файл с требованиями от злоумышленников о выкупе я не могу найти.

На момент заражения стоял обновлённый NOD32

Файлы пошифровало все.

Это не сервер. Стационарный ПК с Windows7 x64

Теневые копии ShadowExplorer не обнаружила.

arhive.zip

[SQ]

Порядок оформления запроса о помощи

 

Файл с требованиями от злоумышленников о выкупе я не могу найти.

Возможно первоисточник заражения является другое устройство (сервер или ПК) которые расположены в той же сети.

[vlasyukmag]

на других ПК требований о выкупе не обнаружено.

 

Прикрепляю образ автозапуска

COMP2_2019-02-02_15-45-35_v4.1.2.7z

[SQ]

Нужны логи автологера. В логах uVS очень много битых ссылок, видимо шифровальщик поработал хорошо. Уточните пожалуйста у этого ПК был удаленный доступ (RDP, SMB)?

[vlasyukmag]

Да, у этого ПК был доступ по RDP (проброшен порт).

К нему подключение шло напрямую без VPN подключения.

На момент заражения пользователя выбросило из сеанса и не пускало, было написано что сеанс занят другим пользователем.

 

Прикрепляю файл который попал в карантин NOD32

Пароль на архив: infected

Логи автологером сделаю завтра.

Самое странное что информации о выкупе я так и не нашёл.

Добавил исполняемый файл на https://www.hybrid-analysis.com/

 

https://www.hybrid-analysis.com/sample/83b8ea93ed00a673c5c032696525b50a745d670bfefd2e266543ddb32bc57c6f?environmentId=120

[SQ]

Посмотрите пожалуйста в событиях остались данные о последних подключения, и также посмотрите пожалуйста по дате и времени какой файл был зашифрован первым, а также кто владелец этого файла.

Похоже это был Trojan-Ransom.Win32.Crusis.to, вредоносный файл удалил с вашего поста.

Самое странное что информации о выкупе я так и не нашёл.

Возможно первоисточником был ПК пользователя который был на этот момент подключен к ПК, в этом случае информация о выкупе должна быть на рабочем столе этого пользователя.

[vlasyukmag]

Собрал сегодня логи автологером.

На момент сбора логов ПК был отключен от интернета.

 

CollectionLog-2019.02.03-15.02.zip

[SQ]

Похоже подменили системные файлы, видимо для взлома ПK, тогда возможно что этот ПК первоисточник.

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O26 - Debugger: HKLM\..\magnify.exe: [Debugger] = C:\windows\system32\cmd.exe
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe

Обратите внимание, что в системных отчетах регистрируются ошибки с диском:

Имя компьютера: comp2
Код события: 11
Сообщение: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.
Номер записи: 200763
Источник: Disk
Время записи: 20190203125908.144078-000
Тип события: Ошибка
Пользователь: 

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[regist]

+ после этого просьба заархивируйте и прикрепите папку Backups внутри папки ..\AutoLogger\HiJackThis

[vlasyukmag]

Спасибо.

Сегодня вечером отпишу.

[vlasyukmag]

Всё вышеперечисленное сделал.

Отправляю файлы.

Backups.rar

Addition.txt

FRST.txt

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  Start::
  CreateRestorePoint:
  CloseProcesses:
  2017-11-21 15:43 - 2014-07-01 09:20 - 011719232 _____ (Foxit Corporation) C:\Users\1C\AppData\Local\Temp\Foxit Reader Updater.exe
  2018-07-22 11:31 - 2018-07-22 11:31 - 001906040 _____ (Oracle Corporation) C:\Users\1C\AppData\Local\Temp\jre-8u181-windows-au.exe
  2015-04-21 13:12 - 2018-02-08 18:39 - 000179840 _____ () C:\Users\1C\AppData\Local\Temp\mcse32_00.dll
  2015-04-21 13:12 - 2018-02-08 18:39 - 000197760 _____ () C:\Users\1C\AppData\Local\Temp\mcse64_00.dll
  2015-04-21 13:12 - 2018-02-08 09:31 - 000197760 _____ () C:\Users\1C\AppData\Local\Temp\mcse64_01.dll
  2019-01-28 08:03 - 2019-01-28 08:03 - 001862144 _____ (Opera Software) C:\Users\Администратор\AppData\Local\Temp\Opera_installer_2019128344152.dll
  2019-01-28 08:03 - 2019-01-28 08:03 - 001862144 _____ (Opera Software) C:\Users\Администратор\AppData\Local\Temp\Opera_installer_2019128344246.dll
  2019-01-28 08:03 - 2019-01-28 08:03 - 001862144 _____ (Opera Software) C:\Users\Администратор\AppData\Local\Temp\Opera_installer_2019128344324.dll
  2019-01-28 08:03 - 2019-01-28 08:03 - 001862144 _____ (Opera Software) C:\Users\Администратор\AppData\Local\Temp\Opera_installer_2019128356757.dll
  ContextMenuHandlers1: [Foxit_ConvertToPDF_Reader] -> {A94757A0-0226-426F-B4F1-4DF381C630D3} => C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\ConvertToPDFShellExtension_x64.dll -> No File
  ContextMenuHandlers1: [VersionsPageShellExt] -> {9E42900A-85F9-4E67-9778-575FBBA0A81C} => C:\Program Files (x86)\Acronis\TrueImageHome\x64\versions_page.dll -> No File
  ContextMenuHandlers1: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext64.dll -> No File
  ContextMenuHandlers1-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll -> No File
  ContextMenuHandlers4: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext64.dll -> No File
  ContextMenuHandlers4-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll -> No File
  ContextMenuHandlers6: [VersionsPageShellExt] -> {9E42900A-85F9-4E67-9778-575FBBA0A81C} => C:\Program Files (x86)\Acronis\TrueImageHome\x64\versions_page.dll -> No File
  ContextMenuHandlers6: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext64.dll -> No File
  ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll -> No File
  Task: {2E4BA888-8792-47D6-B01D-381FEC2D81FE} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
  Task: {87EBADFE-2F20-4769-8F92-FD23404DFC6D} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
  AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [134]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:4FC01C57 [134]
  File: C:\windows\system32\magnify.exe
  File: C:\windows\system32\sethc.exe
  Reboot:
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  

Обратите внимание на следуюшие события

Error: (02/05/2019 06:35:33 PM) (Source: Disk) (EventID: 11) (User: )
Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.

Error: (02/05/2019 06:35:32 PM) (Source: Disk) (EventID: 11) (User: )
Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.

[vlasyukmag]

Всё сделал.

Создался Fixlog.txt

Прикрепил его к сообщению.

Fixlog.txt

[SQ]

Пробуйте выполнить следующие инструкции:
https://forum.kasperskyclub.ru/index.php?showtopic=48525