Перейти к содержанию
Авторизация  
vlasyukmag

Файлы зашифрованы с расширением .[madbad@foxmail.com].usa

Рекомендуемые сообщения

Здравствуйте, помогите расшифровать файлы все документы базы данных зашифрованы расширение .id-66947249.[madbad@foxmail.com].usa

 

Файл с требованиями от злоумышленников о выкупе я не могу найти.
На момент заражения стоял обновлённый NOD32
Файлы пошифровало все.
Это не сервер. Стационарный ПК с Windows7 x64
Теневые копии ShadowExplorer не обнаружила.

arhive.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Порядок оформления запроса о помощи

 

Файл с требованиями от злоумышленников о выкупе я не могу найти.

Возможно первоисточник заражения является другое устройство (сервер или ПК) которые расположены в той же сети.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Нужны логи автологера. В логах uVS очень много битых ссылок, видимо шифровальщик поработал хорошо. Уточните пожалуйста у этого ПК был удаленный доступ (RDP, SMB)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да, у этого ПК был доступ по RDP (проброшен порт).

К нему подключение шло напрямую без VPN подключения.

На момент заражения пользователя выбросило из сеанса и не пускало, было написано что сеанс занят другим пользователем.

 

Прикрепляю файл который попал в карантин NOD32

Пароль на архив: infected


Логи автологером сделаю завтра.


Самое странное что информации о выкупе я так и не нашёл.


Добавил исполняемый файл на https://www.hybrid-analysis.com/

 

https://www.hybrid-analysis.com/sample/83b8ea93ed00a673c5c032696525b50a745d670bfefd2e266543ddb32bc57c6f?environmentId=120

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Посмотрите пожалуйста в событиях остались данные о последних подключения, и также посмотрите пожалуйста по дате и времени какой файл был зашифрован первым, а также кто владелец этого файла.


Похоже это был Trojan-Ransom.Win32.Crusis.to, вредоносный файл удалил с вашего поста.



Самое странное что информации о выкупе я так и не нашёл.

Возможно первоисточником был ПК пользователя который был на этот момент подключен к ПК, в этом случае информация о выкупе должна быть на рабочем столе этого пользователя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Похоже подменили системные файлы, видимо для взлома ПK, тогда возможно что этот ПК первоисточник.

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O26 - Debugger: HKLM\..\magnify.exe: [Debugger] = C:\windows\system32\cmd.exe
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe

Обратите внимание, что в системных отчетах регистрируются ошибки с диском:
Имя компьютера: comp2
Код события: 11
Сообщение: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.
Номер записи: 200763
Источник: Disk
Время записи: 20190203125908.144078-000
Тип события: Ошибка
Пользователь: 

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

+ после этого просьба заархивируйте и прикрепите папку Backups внутри папки ..\AutoLogger\HiJackThis

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    Start::
    CreateRestorePoint:
    CloseProcesses:
    2017-11-21 15:43 - 2014-07-01 09:20 - 011719232 _____ (Foxit Corporation) C:\Users\1C\AppData\Local\Temp\Foxit Reader Updater.exe
    2018-07-22 11:31 - 2018-07-22 11:31 - 001906040 _____ (Oracle Corporation) C:\Users\1C\AppData\Local\Temp\jre-8u181-windows-au.exe
    2015-04-21 13:12 - 2018-02-08 18:39 - 000179840 _____ () C:\Users\1C\AppData\Local\Temp\mcse32_00.dll
    2015-04-21 13:12 - 2018-02-08 18:39 - 000197760 _____ () C:\Users\1C\AppData\Local\Temp\mcse64_00.dll
    2015-04-21 13:12 - 2018-02-08 09:31 - 000197760 _____ () C:\Users\1C\AppData\Local\Temp\mcse64_01.dll
    2019-01-28 08:03 - 2019-01-28 08:03 - 001862144 _____ (Opera Software) C:\Users\Администратор\AppData\Local\Temp\Opera_installer_2019128344152.dll
    2019-01-28 08:03 - 2019-01-28 08:03 - 001862144 _____ (Opera Software) C:\Users\Администратор\AppData\Local\Temp\Opera_installer_2019128344246.dll
    2019-01-28 08:03 - 2019-01-28 08:03 - 001862144 _____ (Opera Software) C:\Users\Администратор\AppData\Local\Temp\Opera_installer_2019128344324.dll
    2019-01-28 08:03 - 2019-01-28 08:03 - 001862144 _____ (Opera Software) C:\Users\Администратор\AppData\Local\Temp\Opera_installer_2019128356757.dll
    ContextMenuHandlers1: [Foxit_ConvertToPDF_Reader] -> {A94757A0-0226-426F-B4F1-4DF381C630D3} => C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\ConvertToPDFShellExtension_x64.dll -> No File
    ContextMenuHandlers1: [VersionsPageShellExt] -> {9E42900A-85F9-4E67-9778-575FBBA0A81C} => C:\Program Files (x86)\Acronis\TrueImageHome\x64\versions_page.dll -> No File
    ContextMenuHandlers1: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext64.dll -> No File
    ContextMenuHandlers1-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll -> No File
    ContextMenuHandlers4: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext64.dll -> No File
    ContextMenuHandlers4-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll -> No File
    ContextMenuHandlers6: [VersionsPageShellExt] -> {9E42900A-85F9-4E67-9778-575FBBA0A81C} => C:\Program Files (x86)\Acronis\TrueImageHome\x64\versions_page.dll -> No File
    ContextMenuHandlers6: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext64.dll -> No File
    ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll -> No File
    Task: {2E4BA888-8792-47D6-B01D-381FEC2D81FE} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
    Task: {87EBADFE-2F20-4769-8F92-FD23404DFC6D} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
    AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [134]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:4FC01C57 [134]
    File: C:\windows\system32\magnify.exe
    File: C:\windows\system32\sethc.exe
    Reboot:
    End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.



Обратите внимание на следуюшие события

Error: (02/05/2019 06:35:33 PM) (Source: Disk) (EventID: 11) (User: )
Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.

Error: (02/05/2019 06:35:32 PM) (Source: Disk) (EventID: 11) (User: )
Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Авторизация  

  • Похожий контент

    • От stiks
      Здравствуйте !

       

      Расширение с id имя_файла.id-3629E235.[veracrypt@foxmail.com].adobe

       

      Зашифровано буквально всё (БД, Фото и т.д.).

       

      Прикрепленные файлы:
      - образцы зашифрованных файлов (разного типа: фото, текст, офис);
      - файлы Addition и FRST (по несколько шт.).
       
      Что ещё необходимо сделать ?
      Addition (2).txt
      Addition.txt
      FRST (2).txt
      FRST.txt
      IMG_0837.jpg.id-3629E235.veracrypt@foxmail.com.7z
      Блокнот.txt.id-3629E235.veracrypt@foxmail.com.7z
      Внимание.docx.id-3629E235.veracrypt@foxmail.com.7z
      коэфициент.doc.id-3629E235.veracrypt@foxmail.com.7z
      ошибка.docx.id-3629E235.veracrypt@foxmail.com.7z
×
×
  • Создать...

Важная информация

Мы используем файлы cookie, чтобы улучшить работу сайта. Продолжая пользоваться этим сайтом, вы соглашаетесь, что некоторые из ваших действий в браузере будут записаны в файлы cookie. Подробную информацию об использовании файлов cookie на этом сайте вы можете найти по ссылке узнать больше.