Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Помогите. Зашифрован zoro4747@gmx.de

Edik
 Share Подписчики 1

Рекомендуемые сообщения

Edik

Edik 0

Опубликовано
Опубликовано

Комп под защитой Касперский FREE 19.0, RDP порт изменен на нестандартный. Windows 7. На компьютере никто не работает, он для удаленки.
Все файлы после расширения имеют:  [zoro4747@gmx.de].zoro
Предыдущие версии файлов уничтожены зловредом.

Внутри файлов все перемешано.
Спасите, кто может. Семейные фотки и т.д. :-(

Ссылка на сообщение
Поделиться на другие сайты
Edik

Edik 0

Опубликовано
  • Автор
Опубликовано

Все выполнил.


Списался с шифровальщиком, он расшифровал файл, что бы доказать, что может расшифровать. Такой же но зашифрованный я предоставил вначале


Вот расшифрованный файл и подозрительные файлы обнаруженные CureIt.
Пароль на архив 123, иначе антивирус не дает прикрепить архивный файл.

CollectionLog-2019.05.13-01.24.zip

report1.log

report2.log

aids_files.rar

Свете качнуть.txt

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 412

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\user\Music\processhacker-2.39-bin\x64\kprocesshacker.sys','');
 SetServiceStart('KProcessHacker3', 4);
 DeleteService('KProcessHacker3');
 TerminateProcessByName('c:\users\user\appdata\roaming\winupmgr.exe');
 QuarantineFile('c:\users\user\appdata\roaming\winupmgr.exe','');
 DeleteFile('c:\users\user\appdata\roaming\winupmgr.exe','32');
 DeleteFile('C:\Users\user\Music\processhacker-2.39-bin\x64\kprocesshacker.sys','64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','BtMFfAOPVHouF','x32');
 DeleteFile('C:\Users\user\!!! RESTORE DATA !!!.TXT','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','BtMFfAOPVHouF','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на сообщение
Поделиться на другие сайты
Edik

Edik 0

Опубликовано
  • Автор
Опубликовано

1 - После работы CureIt и перезапуска заработал антивирус (Kaspersky Free 19.0.0). Я его отключил и выполнил AutoLogger-test. Результат его работы в CollectionLog-2019.05.13-08.16.
2 - Предоставленный вами скрипт запускал как до выполнения AutoLogger-test , так и после. В обоих случаях был нулевой размер quarantine, но файл который был получен, я вам высылаю. Правда, в нем ничего нет :-(

CollectionLog-2019.05.13-08.16.zip

quarantine.zip

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 412

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 412

Опубликовано
Опубликовано

Увы. это Scarab и расшифровки нет. Только зачистка следов вирусов.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\!!! RESTORE DATA !!!.TXT [2019-05-12] () [File not signed]
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!! RESTORE DATA !!!.TXT [2019-05-12] () [File not signed]
2019-05-12 05:30 - 2019-05-12 05:30 - 000918946 _____ C:\Users\user\BtMFfAOPVHouF.bmp
2019-05-12 05:29 - 2019-05-12 05:30 - 000000740 _____ C:\Users\user\Desktop\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\Все пользователи\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\usr2\Downloads\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\usr2\Documents\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\usr2\Desktop\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\usr2\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\usr1\Downloads\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\usr1\Documents\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\usr1\Desktop\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\usr1\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\user11\Downloads\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\user11\Documents\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\user11\Desktop\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\user11\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\user\Downloads\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\user\Documents\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\Public\Downloads\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\Public\Documents\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\Public\Desktop\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\Public\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\Default\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\ProgramData\Microsoft\Windows\Start Menu\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\ProgramData\!!! RESTORE DATA !!!.TXT
2019-05-12 05:27 - 2019-05-12 05:27 - 000000740 _____ C:\Program Files (x86)\!!! RESTORE DATA !!!.TXT
2019-05-12 05:26 - 2019-05-12 05:26 - 000000740 _____ C:\Program Files\!!! RESTORE DATA !!!.TXT
2019-05-12 04:04 - 2014-05-26 22:58 - 000000485 _____ C:\Users\user\Downloads\Clearr.cmd.[zoro4747@gmx.de].zoro
2019-05-12 03:34 - 2019-05-12 03:34 - 000000740 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!! RESTORE DATA !!!.TXT
2019-05-12 03:34 - 2019-05-12 03:34 - 000000740 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\!!! RESTORE DATA !!!.TXT
2019-05-12 03:34 - 2019-05-12 03:34 - 000000740 _____ C:\Users\user\AppData\Roaming\!!! RESTORE DATA !!!.TXT
2019-05-12 03:33 - 2019-05-12 03:34 - 000000000 ____D C:\Users\user\AppData\Roaming\Process Hacker 2
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 412

Опубликовано
Опубликовано

Судя по времени шифрования был вход по RDP после подбора простого пароля.

 

Антивирусные решения лишь уменьшают риск заболеть, но 100% гарантии защиты не дает ни один разработчик.

Ссылка на сообщение
Поделиться на другие сайты
Edik

Edik 0

Опубликовано
  • Автор
Опубликовано

Пароль был 8 символов, большие маленькие буквы и цифры. Политика блокировки 3 минуты при 3 ошибках в пароле. Простой перебор врядли... Значит чтото еще есть там...
Вы сделали все что могли. Спасибо.
Скажите, Линукс шифруют?

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 412

Опубликовано
Опубликовано

Просто так подобные утилиты C:\Users\user\Music\processhacker-2.39-bin да еще и в указанной папке и в ночное время не появляются. Значит точно был брут.

 

Линукс если и шифруют, то ооочень редко. 

Ссылка на сообщение
Поделиться на другие сайты
Kostyajil

Kostyajil 0

Опубликовано
Опубликовано

Стояла станция смотрящая в инет чисто для доступа по RDP к другим компам сети... Зашифровали(((( Этот же паразит zoro4747@gmx.de

 

Списался с ним. Договорился на 100$.
Есть смысл оплачивать? Если будет мой код, пример зашифрованного файла и расшифрованного и ключ который он пришлёт за 100$... Это поможет остальным расшифроваться?

Ссылка на сообщение
Поделиться на другие сайты
Kostyajil

Kostyajil 0

Опубликовано
Опубликовано

Тогда кукиш ему а не 100$ )))
Если бы это позволило вычислить алгоритм шифрования, и помочь многим потом, тогда бы может ещё потратился...

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Tadmin
      [РАСШИФРОВАНО] Помощь с восстановлением файлов после шифровальщика hopeandhonest@smime.ninja
      От Tadmin
      Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов.
      hopeandhonest@smime.ninja.zip
    • DimonD
      [РАСШИФРОВАНО] Поймали шифровальщик
      От DimonD
      Добрый день. Помогите пожалуйста с расшифровкой файлов? так же на сервак ктото споймал эту гадость. 
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • iLuminate
      Подозрение на взлом сервера
      От iLuminate
      Есть подозрение на взлом, так как при переходе C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Администрирование - Ярлык появляется ярлык которые указан на скриншоте.

      FRST.txt Addition.txt
    • JhonD
      шифровальщик Jami_decryptionguy
      От JhonD
      Добрый день, посмотрите, есть ли надежда на восстановление файлов. 
      Addition.txt CONTACT_US.txt FRST.txt АКТ на списание ГСМ.DOCX
    • upvpst
      DCHELP.org
      От upvpst
      Добрый день! В сеть проник зловред подробно описанный по ссылке https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html.
      Возможности зайти на сервер нет, так как файловые системы отображаются как нечитаемые. Пробуем вытащить файлы через R-Studio, Disk Drill и иные утилиты восстановления данных. Сталкивался ли кто-то еще с этими гадами? Есть ли выход?

×
×
  • Создать...