Перейти к содержанию
Авторизация  
jeanjean

[РЕШЕНО] шифровальщик LDPR

Рекомендуемые сообщения

Зашифрованы файлы и программы кроме системных.

Приложил лог

приложил сообщение

приложил зашифрованый файл и он же не зашифрованный

CollectionLog-2019.04.22-17.13.zip

FILES ENCRYPTED.txt

fileAndCrypted.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

Шифровальщик похоже на новый вариант Dharma (семейство CrySiS) на данный момент неизвестны удачные случая расшифровки.

Если хотите, очистить остатки, то предоставьте следующий лог:


- Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Сообщите, пожалуйста если у Вас сохранился сам шифровальщик (вредоносное ПО которое привело к шифрованию файлов, предположительно notepad.exe)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

RansomwareFileDecryptor 1.0.1668 MUI - определил как CRYSIS, но ни одного файла расшифровать не смог


не уверен сохранился ли. Где его искать? KVRT нашел только трояна в памяти.

FarBar.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

На сервере обнаружены остатки от антивируса Avast, воспользуйтесь утилитой avast remover для их удаления.

U0 aswVmm; no ImagePath

Попробуйте уточнить у пользователя nata, что она запускала перед появлением проблемы? Как вариант письмо в почте, либо какую-то скачанную программу и т.п. В некоторых случаях это результат взлома сервера, если он дступен из вне и использовался легкий к подбору пароль.

 

 

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    Start::
    CreateRestorePoint:
    2019-04-21 17:51 - 2019-04-21 17:51 - 000013914 _____ D:\Users\nata\AppData\Roaming\Info.hta
    2019-04-21 17:51 - 2019-04-21 17:51 - 000000208 _____ D:\FILES ENCRYPTED.txt
    File: D:\Users\Public\Desktop\avast_free_antivirus_setup_online.exe
    End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что сервер возможно будет перезагружен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

С авастом только завтра смогу, я сейчас в удаленке.


Сервер извне напрямую недоступен, но похоже что Вы правы относительно взлома. Пользователь nata не используется (по крайней мере не должен), но его рабочий каталог заражен (у остальных пользователей - нет)


к тому же время в воскресенье вечером, бюджетная контора

Fixlog.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

проверьте пожалуйста следующий файл на независимой системе https://www.virustotal.com

D:\Users\Public\Desktop\avast_free_antivirus_setup_online.exe
  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    Start::
    CreateRestorePoint:
    2019-04-21 17:51 - 2019-04-21 17:51 - 000013914 _____ D:\Users\nata\AppData\Roaming\Info.hta
    End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что сервер возможно будет перезагружен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

по поводу файла - undetected

это hta-файл я ненароком запустил, уведомление о заражении увидел

Fixlog.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Однако много лопатила программа

Речь о шифровальщике?

 

Вам знакома следующее приложение?

 

%SystemDrive%\USERS\IRINA\APPDATA\LOCAL\CMSCLIENTNG\CMSCLIENTNG.EXE

В логах шифровальщика не нашел.

P.S. В большенстве случаев при запросе на расшифровку в тех. поддержку Лаборатории Касперского без шифровальщика не будет положителен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Образ автозапуска и сохранение файла неожиданно для меня долго делался.

cms... - это одна из приблуд казначейства (или налоговиков) для работы с ключами доступа и сертификатами

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

cms... - это одна из приблуд казначейства (или налоговиков) для работы с ключами доступа и сертификатами

Хорошо, видимо у стороннего антивируса (Symantec) на него - ложное срабатывание.

 

Я воспользовался случаем (квотой на запрос) создал запрос по вашей проблеме в тех. поддержку в Лабораторию Касперского (ID #INC000010384105). Однако гарантировать какой-то положительный исход не могу.

P.S. Ответ может занять около 2-10 дней в зависимости от загруженности тех. поддержки. Если у Вас есть лицензия на продукты различных антивирусных вендоров то пробуйте создать запрос сами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Спасибо

я тут посмотрел логи, таки целенаправленный подбор имен и паролей шел. Там в приложении даже ip, который отдали оставлен. Причем программа даже не заморачивалась, что вход уже получен, продолжала долбить другие варианты.

А утром нашел еще тему англоязычную, с теми же параметрами заражения, что у меня: https://www.bleepingcomputer.com/forums/t/696218/infected-win-7-mrcryptaolcomldpr/ - компашка в воскресенье поработала на славу.

Это так, вдруг чем поможет.

post-44535-0-69020300-1555963791_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Спасибо

я тут посмотрел логи, таки целенаправленный подбор имен и паролей шел. Там в приложении даже ip, который отдали оставлен. Причем программа даже не заморачивалась, что вход уже получен, продолжала долбить другие варианты.

А утром нашел еще тему англоязычную, с теми же параметрами заражения, что у меня: https://www.bleepingcomputer.com/forums/t/696218/infected-win-7-mrcryptaolcomldpr/ - компашка в воскресенье поработала на славу.

Это так, вдруг чем поможет.

Если вам это ip-адрес не знаком, то попробуйте также обратиться в полицию, в случае если злоумышлинник забыл скрыть свой ip-адрес или зачистить логи подключений (как они обыно делают).

 

P.S. Обычно когда ловят злоумышлинников у них не остается других возможностей как идти на сделку с правосудием.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пришел ответ касаемо инцидента (ID #INC000010384105) к сожалению на данный момент помочь не могут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
Авторизация  

  • Похожий контент

    • От Rekalov28
      Подхватили шифровальщик Trojan-Ransom.Win32.Crusis.to
      Все файлы зашифрованы вирусом. Подскажите пожалуйста есть ли возможность их расшифровать. При необходимости можем найти пары из файлов зашифрованный + не зашифрованный.
      Для примера прикрепляю шифрованные файлы 
       
      БОРЫ МАНИ ЦВ,2.jpg.id-30F0F9E5.[3441546223@qq.com].ncov MD520 инструкция.pdf.id-30F0F9E5.[3441546223@qq.com].ncov Кристи прайс 19.03.2018.xlsx.id-30F0F9E5.[3441546223@qq.com].ncov
    • От Олег Геннадьевич
      CollectionLog-2020.05.26-15.54.zip Прошу помощи в восстановлении файлов (doc. exel. jpg) 
    • От aristokrat
      Сегодня ночью были зашифрованы файлы в папке с общим доступом для локальной сети.
      Антивируса не было. Интернет был подключен.
      в имени файлов добавилось .id-603896E0.[pentestlab@aol.com].LaB
      367 Перечень соц-значимых забол.docx.id-603896E0.[pentestlab@aol.com].LaB CollectionLog-2020.05.13-11.06.zip Абдрахманова ОД макула.pdf.id-603896E0.[pentestlab@aol.com].LaB
    • От Addy
      Поймали шифровальщика через удаленный доступ, система Windows Server 2008 R2.
    • От Tolstogan
      Вы победили? Заплатили? Такая же история. Можно объединится если дескриптор подойде

       
      Сообщение от модератора SQ Тема перемещена от сюда. Пожалуста не пишите в чужих темах.  
×
×
  • Создать...

Важная информация

Мы используем файлы cookie, чтобы улучшить работу сайта. Продолжая пользоваться этим сайтом, вы соглашаетесь, что некоторые из ваших действий в браузере будут записаны в файлы cookie. Подробную информацию об использовании файлов cookie на этом сайте вы можете найти по ссылке узнать больше.