Перейти к содержанию

Я - очередная жертва Дракоши (blackdragon43@yahoo.com)

damned2000
 Поделиться

Рекомендуемые сообщения

damned2000

damned2000

Опубликовано
Опубликовано

Попался на шифровальщик Дракошу (blackdragon43@yahoo.com). На компе стоял KES10 лицензия, но не помогло (есть подозрение, что злоумышленник действовал через RDP). После обнаружения был просканирован диск через KRD и удалены все угрозы. Далее смог зайти в систему, но все файлы оказались зашифрованы. После изучения правил создания темы, прошелся с помощью Autologger и FarBar. Логи обеих программ во вложении + примеры зашифрованных документов (.DOC, .XLS, .PPT, картинки).

Тешу себя мыслью о том, что кому-то уже помогли вернуть все в исходный вид. Внешний диск для бэкапов семейного архива тоже пострадал :(

Заранее спасибо

_CRYPTED_sample.zip

farbarlogs_20190910.zip

CollectionLog-2019.05.10-23.17.zip

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код:

Start::
CreateRestorePoint:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset [2019-05-07] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\README.txt [2019-05-07] () [File not signed]
Startup: C:\Users\damned\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.txt [2019-05-07] () [File not signed]
Task: {C9D0A631-F094-49C8-8DE8-D509D792E257} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet]
Task: {9C8886DD-4832-4B56-84E3-08631C056CCE} - \KMSAutoNet -> No File <==== ATTENTION
2019-05-07 20:04 - 2019-05-07 20:10 - 000001302 _____ C:\Users\damned\AppData\README.txt
2019-05-07 20:04 - 2019-05-07 20:04 - 000003152 _____ C:\Windows\System32\Tasks\VssDataRestore
2019-05-07 20:04 - 2019-05-07 20:04 - 000000071 _____ C:\README.txt
2019-05-07 20:03 - 2019-05-07 20:09 - 000001302 _____ C:\Users\damned\AppData\LocalLow\README.txt
2019-05-07 20:02 - 2019-05-07 20:02 - 000000071 _____ C:\Program Files (x86)\README.txt
2019-05-07 20:00 - 2019-05-07 20:00 - 000000071 _____ C:\Program Files\README.txt
2019-05-07 20:00 - 2019-05-07 20:00 - 000000071 _____ C:\Program Files\Common Files\README.txt
2019-05-07 17:52 - 2019-05-07 20:04 - 000001302 _____ C:\Users\damned\Documents\README.txt
2019-05-07 17:52 - 2019-05-07 20:04 - 000001302 _____ C:\Users\damned\AppData\Roaming\README.txt
2019-05-07 17:52 - 2019-05-07 17:52 - 000001302 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 17:52 - 2019-05-07 17:52 - 000001302 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 17:52 - 2019-05-07 17:52 - 000000071 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
2019-05-07 17:52 - 2019-05-07 17:52 - 000000071 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
2019-05-07 17:52 - 2019-05-07 17:52 - 000000071 _____ C:\Users\damned\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
2019-05-07 17:49 - 2019-05-07 17:49 - 000001302 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 17:49 - 2019-05-07 17:49 - 000000071 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\README.txt
2019-05-07 17:01 - 2019-05-07 20:13 - 000001302 _____ C:\Users\README.txt
2019-05-07 17:01 - 2019-05-07 20:13 - 000001302 _____ C:\Users\Public\README.txt
2019-05-07 17:01 - 2019-05-07 20:13 - 000001302 _____ C:\Users\Public\Downloads\README.txt
2019-05-07 17:01 - 2019-05-07 20:13 - 000001302 _____ C:\Users\damned\README.txt
2019-05-07 17:01 - 2019-05-07 20:13 - 000001302 _____ C:\Users\damned\Downloads\README.txt
2019-05-07 17:01 - 2019-05-07 20:12 - 000001302 _____ C:\Users\damned\Desktop\README.txt
2019-05-07 17:01 - 2019-05-07 20:04 - 000001302 _____ C:\Users\Public\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 17:01 - 2019-05-07 20:04 - 000001302 _____ C:\Users\Public\Downloads\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 17:01 - 2019-05-07 20:04 - 000001302 _____ C:\Users\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 17:01 - 2019-05-07 20:04 - 000001302 _____ C:\Users\Default\README.txt
2019-05-07 17:01 - 2019-05-07 20:04 - 000001302 _____ C:\Users\Default\Downloads\README.txt
2019-05-07 17:01 - 2019-05-07 20:04 - 000001302 _____ C:\Users\Default\Desktop\README.txt
2019-05-07 17:01 - 2019-05-07 20:04 - 000001302 _____ C:\Users\Default\AppData\README.txt
2019-05-07 17:01 - 2019-05-07 20:04 - 000001302 _____ C:\Users\Default User\Downloads\README.txt
2019-05-07 17:01 - 2019-05-07 20:04 - 000001302 _____ C:\Users\Default User\Desktop\README.txt
2019-05-07 17:01 - 2019-05-07 20:04 - 000001302 _____ C:\Users\Default User\AppData\README.txt
2019-05-07 17:01 - 2019-05-07 20:04 - 000001302 _____ C:\Users\damned\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 17:01 - 2019-05-07 20:04 - 000001302 _____ C:\Users\damned\Downloads\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 17:01 - 2019-05-07 20:04 - 000001302 _____ C:\Users\damned\Desktop\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 17:01 - 2019-05-07 17:52 - 000001302 _____ C:\Users\Default\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 17:01 - 2019-05-07 17:52 - 000001302 _____ C:\Users\Default\Downloads\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 17:01 - 2019-05-07 17:52 - 000001302 _____ C:\Users\Default\Documents\README.txt
2019-05-07 17:01 - 2019-05-07 17:52 - 000001302 _____ C:\Users\Default\Documents\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 17:01 - 2019-05-07 17:52 - 000001302 _____ C:\Users\Default\Desktop\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 17:01 - 2019-05-07 17:52 - 000001302 _____ C:\Users\Default\AppData\Roaming\README.txt
2019-05-07 17:01 - 2019-05-07 17:52 - 000001302 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-07 17:01 - 2019-05-07 17:52 - 000001302 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 17:01 - 2019-05-07 17:52 - 000001302 _____ C:\Users\Default\AppData\Roaming\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 17:01 - 2019-05-07 17:52 - 000001302 _____ C:\Users\Default\AppData\Local\README.txt
2019-05-07 17:01 - 2019-05-07 17:52 - 000001302 _____ C:\Users\Default\AppData\Local\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 17:01 - 2019-05-07 17:52 - 000001302 _____ C:\Users\Default\AppData\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 17:01 - 2019-05-07 17:52 - 000001302 _____ C:\Users\Default User\Downloads\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 17:01 - 2019-05-07 17:52 - 000001302 _____ C:\Users\Default User\Documents\README.txt
2019-05-07 17:01 - 2019-05-07 17:52 - 000001302 _____ C:\Users\Default User\Documents\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 17:01 - 2019-05-07 17:52 - 000001302 _____ C:\Users\Default User\Desktop\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 17:01 - 2019-05-07 17:52 - 000001302 _____ C:\Users\Default User\AppData\Roaming\README.txt
2019-05-07 17:01 - 2019-05-07 17:52 - 000001302 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-07 17:01 - 2019-05-07 17:52 - 000001302 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 17:01 - 2019-05-07 17:52 - 000001302 _____ C:\Users\Default User\AppData\Roaming\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 17:01 - 2019-05-07 17:52 - 000001302 _____ C:\Users\Default User\AppData\Local\README.txt
2019-05-07 17:01 - 2019-05-07 17:52 - 000001302 _____ C:\Users\Default User\AppData\Local\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 17:01 - 2019-05-07 17:52 - 000001302 _____ C:\Users\Default User\AppData\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 17:01 - 2019-05-07 17:52 - 000001302 _____ C:\Users\damned\Documents\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 17:01 - 2019-05-07 17:52 - 000001302 _____ C:\Users\damned\AppData\Roaming\Microsoft\Windows\Start Menu\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 17:01 - 2019-05-07 17:52 - 000000071 _____ C:\Users\damned\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-07 17:01 - 2019-05-07 17:01 - 000000011 _____ C:\Users\damned\Desktop\DesktopLocker.ini
2019-05-07 17:01 - 2019-04-24 22:19 - 000279303 _____ C:\Users\damned\Desktop\Desktop_Locker.exe
2019-05-07 17:00 - 2019-05-07 20:03 - 000001302 _____ C:\Users\damned\AppData\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 17:00 - 2019-05-07 17:52 - 000001302 _____ C:\Users\damned\AppData\Roaming\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 16:56 - 2019-05-07 20:03 - 000001302 _____ C:\Users\damned\AppData\LocalLow\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 16:56 - 2019-05-07 17:49 - 000001302 _____ C:\Users\damned\AppData\Local\README.txt
2019-05-07 16:50 - 2019-05-07 17:49 - 000001302 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
2019-05-07 16:50 - 2019-05-07 17:49 - 000001302 _____ C:\ProgramData\Microsoft\Windows\Start Menu\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 16:50 - 2019-05-07 16:52 - 000001302 _____ C:\Users\damned\AppData\Local\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 16:50 - 2019-05-07 16:50 - 000001302 _____ C:\Users\Все пользователи\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 16:50 - 2019-05-07 16:50 - 000001302 _____ C:\ProgramData\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 16:49 - 2019-05-07 17:48 - 000001302 _____ C:\Users\Public\Documents\README.txt
2019-05-07 16:49 - 2019-05-07 17:48 - 000001302 _____ C:\Users\Public\Desktop\README.txt
2019-05-07 16:49 - 2019-05-07 17:01 - 000001302 _____ C:\Users\Public\Documents\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 16:49 - 2019-05-07 17:01 - 000001302 _____ C:\Users\Public\Desktop\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 16:48 - 2019-05-07 17:01 - 000001302 _____ C:\Users\Все пользователи\README.txt
2019-05-07 16:48 - 2019-05-07 17:01 - 000001302 _____ C:\ProgramData\README.txt
2019-05-07 16:47 - 2019-05-07 20:07 - 000001302 _____ C:\Users\Acronis Agent User\README.txt
2019-05-07 16:47 - 2019-05-07 20:07 - 000001302 _____ C:\Users\Acronis Agent User\Downloads\README.txt
2019-05-07 16:47 - 2019-05-07 20:07 - 000001302 _____ C:\Users\Acronis Agent User\Documents\README.txt
2019-05-07 16:47 - 2019-05-07 20:07 - 000001302 _____ C:\Users\Acronis Agent User\Desktop\README.txt
2019-05-07 16:47 - 2019-05-07 20:07 - 000001302 _____ C:\Users\Acronis Agent User\AppData\Roaming\README.txt
2019-05-07 16:47 - 2019-05-07 20:07 - 000001302 _____ C:\Users\Acronis Agent User\AppData\README.txt
2019-05-07 16:47 - 2019-05-07 20:07 - 000001302 _____ C:\Users\Acronis Agent User\AppData\LocalLow\README.txt
2019-05-07 16:47 - 2019-05-07 20:07 - 000001302 _____ C:\Users\Acronis Agent User\AppData\Local\README.txt
2019-05-07 16:47 - 2019-05-07 20:03 - 000001302 _____ C:\Users\Acronis Agent User\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 16:47 - 2019-05-07 20:03 - 000001302 _____ C:\Users\Acronis Agent User\Downloads\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 16:47 - 2019-05-07 20:03 - 000001302 _____ C:\Users\Acronis Agent User\Documents\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 16:47 - 2019-05-07 20:03 - 000001302 _____ C:\Users\Acronis Agent User\Desktop\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 16:47 - 2019-05-07 20:03 - 000001302 _____ C:\Users\Acronis Agent User\AppData\Roaming\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 16:47 - 2019-05-07 20:03 - 000001302 _____ C:\Users\Acronis Agent User\AppData\LocalLow\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 16:47 - 2019-05-07 20:03 - 000001302 _____ C:\Users\Acronis Agent User\AppData\Local\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 16:47 - 2019-05-07 20:03 - 000001302 _____ C:\Users\Acronis Agent User\AppData\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4096578809-67671001304308816181082.fname-README.txt.doubleoffset
2019-05-07 16:47 - 2019-05-07 16:47 - 000000071 _____ C:\Users\Acronis Agent User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
damned2000

damned2000

Опубликовано
  • Автор
Опубликовано

Нижайший поклон! Все расшифровалось! Техподдержка касперского до сих пор не смогла даже надежды дать на расшифровку. Спасибо ещё раз!

thyrex

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Lord2454
      Шифровальщик enkacrypt
      Автор Lord2454
      Добрый день.
      Прошу помочь.
       
      Файлы FRST:
      Addition.txtFRST.txt  
       
      Архив с зашифрованными файлами (пароль virus). Сообщение от вымогателей там же.
      Decrypt_enkacrypt.rar
    • ИТ45
      Trojan.Encoder.35209
      Автор ИТ45
      Добрый день! Просим помощи у кого есть дешифратор
    • Shade_art
      Поймали шифровальщик. platishilidrochish@fear.pw
      Автор Shade_art
      Добрый день. 
      Поймали вирус шифровальщик. Тут есть умельцы помочь с этой проблемой?
    • FineGad
      Шифровальщик WantToCry
      Автор FineGad
      26.12.24 На файловом сервере (комп с Debian) в расшареных каталогах заметил текстовый файл !want_to_cry.txt 
      Просканировал все каталоги доступные по сети (SMB) зашифрованные файлы с расширением .want_to_cry по времени создания файлов видно что шифровальщик проработал примерно с 24.12.24 20:05  по 25.12.24 03:05 после чего сервер "завис". Сейчас шифровщик не активен (новые шифрованные файлы не появляются). Доступа к сети извне нет, кроме SSH с ключом шифрования. В сети кроме моего во время активности были еще 2 компьютера под управление Windows.
       
      !want_to_cry.txt
    • lex-xel
      Сервер подвергся взлому
      Автор lex-xel
      Добрый день!
      Аналогичная ситуация  сервер подвергся взлому, база данных заархивирована с шифрованием.
      Антивирус снесли, хоть он был под паролем.
      Подскажите есть способ как то исправить ситуацию, расшифровать базу данных?
       
      Do you really want to restore your files?
      Write to email: a38261062@gmail.com
       
      Сообщение от модератора Mark D. Pearlstone перемещено из темы.
         
×
×
  • Создать...