Перейти к содержанию
Авторизация  
vado78

Шифровальщик solushon@tutanota.com

Рекомендуемые сообщения

Добрый день. Помогите разобраться с  вирусом и дешифровать файлы.

 

Названия папок не меняется, везде зашифрованные имена имеют тип ФАЙЛ, и лежат Readme у всех одинаковый id.

 

Your files are encrypted!

                                        YOUR PERSONAL ID

                                        1i6im6z613OTmFMAlOvHTJ21LHqMypZ6HEt2HYHm

---------------------------------------------------------------------------------

Send to (YOUR PERSONAL ID) this email:

solushon@tutanota.com

 

Несколько компьютеров в сети(домена) поражены. Ищем заразу 3 день найти не можем.

Windows XP, валются сразу, после поражения system32. Desktop  и все остальное целое.

А Windows 7 - зашифровано полностью. 

На зараженных компах Kaspersky и DrWeb ничего не находят.

CollectionLog-2019.05.25-18.02.zip

Files.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

CryptConsole 3. Никаких шансов на расшифровку.

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Первые файлы с сообщением от вымогателей появились в начале четвертого ночи. Вывод напрашивается сам собой - вход по RDP после подбора пароля.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
2019-05-24 06:43 - 2019-05-24 06:43 - 000000400 _____ C:\Users\Администратор.NOVSILA\Documents\README.txt
2019-05-24 06:43 - 2019-05-24 06:43 - 000000400 _____ C:\Users\Администратор.NOVSILA\AppData\Roaming\README.txt
2019-05-24 06:43 - 2019-05-24 06:43 - 000000400 _____ C:\Users\Администратор.NOVSILA\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-24 06:43 - 2019-05-24 06:43 - 000000400 _____ C:\Users\Администратор.NOVSILA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
2019-05-24 06:43 - 2019-05-24 06:43 - 000000400 _____ C:\Users\Администратор.NOVSILA\AppData\LocalLow\README.txt
2019-05-24 06:42 - 2019-05-24 06:42 - 000000400 _____ C:\Users\Администратор.NOVSILA\README.txt
2019-05-24 06:42 - 2019-05-24 06:42 - 000000400 _____ C:\Users\Администратор.NOVSILA\AppData\README.txt
2019-05-24 06:41 - 2019-05-24 06:41 - 000000400 _____ C:\Users\Администратор\Documents\README.txt
2019-05-24 06:41 - 2019-05-24 06:41 - 000000400 _____ C:\Users\Администратор\AppData\Roaming\README.txt
2019-05-24 06:41 - 2019-05-24 06:41 - 000000400 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-24 06:41 - 2019-05-24 06:41 - 000000400 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
2019-05-24 06:41 - 2019-05-24 06:41 - 000000400 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
2019-05-24 06:38 - 2019-05-24 06:38 - 000000400 _____ C:\Users\Администратор\README.txt
2019-05-24 06:38 - 2019-05-24 06:38 - 000000400 _____ C:\Users\Администратор\AppData\README.txt
2019-05-24 06:38 - 2019-05-24 06:38 - 000000400 _____ C:\Users\turchin_ia\Documents\README.txt
2019-05-24 06:38 - 2019-05-24 06:38 - 000000400 _____ C:\Users\turchin_ia\AppData\Roaming\README.txt
2019-05-24 06:38 - 2019-05-24 06:38 - 000000400 _____ C:\Users\turchin_ia\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-24 06:38 - 2019-05-24 06:38 - 000000400 _____ C:\Users\turchin_ia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
2019-05-24 06:38 - 2019-05-24 06:38 - 000000400 _____ C:\Users\turchin_ia\AppData\LocalLow\README.txt
2019-05-24 06:37 - 2019-05-24 06:37 - 000000400 _____ C:\Users\turchin_ia\README.txt
2019-05-24 06:37 - 2019-05-24 06:37 - 000000400 _____ C:\Users\turchin_ia\AppData\README.txt
2019-05-24 06:37 - 2019-05-24 06:37 - 000000400 _____ C:\Users\russu_ds\Documents\README.txt
2019-05-24 06:29 - 2019-05-24 06:29 - 000000400 _____ C:\Users\russu_ds\Desktop\README.txt
2019-05-24 06:27 - 2019-05-24 06:27 - 000000400 _____ C:\Users\russu_ds\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-24 06:27 - 2019-05-24 06:27 - 000000400 _____ C:\Users\russu_ds\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
2019-05-24 06:26 - 2019-05-24 06:26 - 000000400 _____ C:\Users\russu_ds\AppData\Roaming\README.txt
2019-05-24 06:26 - 2019-05-24 06:26 - 000000400 _____ C:\Users\russu_ds\AppData\LocalLow\README.txt
2019-05-24 06:24 - 2019-05-24 06:24 - 000000400 _____ C:\Users\russu_ds\README.txt
2019-05-24 06:24 - 2019-05-24 06:24 - 000000400 _____ C:\Users\russu_ds\AppData\README.txt
2019-05-24 06:21 - 2019-05-24 06:21 - 000000400 _____ C:\Users\Public\README.txt
2019-05-24 06:21 - 2019-05-24 06:21 - 000000400 _____ C:\Users\Public\Documents\README.txt
2019-05-24 06:21 - 2019-05-24 06:21 - 000000400 _____ C:\Users\kravec_is\Documents\README.txt
2019-05-24 06:19 - 2019-05-24 06:19 - 000000400 _____ C:\Users\kravec_is\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-24 06:19 - 2019-05-24 06:19 - 000000400 _____ C:\Users\kravec_is\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
2019-05-24 06:18 - 2019-05-24 06:18 - 000000400 _____ C:\Users\kravec_is\AppData\Roaming\README.txt
2019-05-24 06:18 - 2019-05-24 06:18 - 000000400 _____ C:\Users\kravec_is\AppData\LocalLow\README.txt
2019-05-24 06:17 - 2019-05-24 06:17 - 000000400 _____ C:\Users\README.txt
2019-05-24 06:17 - 2019-05-24 06:17 - 000000400 _____ C:\Users\kravec_is\README.txt
2019-05-24 06:17 - 2019-05-24 06:17 - 000000400 _____ C:\Users\kravec_is\AppData\README.txt
2019-05-24 06:17 - 2019-05-24 06:17 - 000000400 _____ C:\Users\Default\README.txt
2019-05-24 06:17 - 2019-05-24 06:17 - 000000400 _____ C:\Users\Default\Documents\README.txt
2019-05-24 06:17 - 2019-05-24 06:17 - 000000400 _____ C:\Users\Default\AppData\Roaming\README.txt
2019-05-24 06:17 - 2019-05-24 06:17 - 000000400 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-24 06:17 - 2019-05-24 06:17 - 000000400 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
2019-05-24 06:17 - 2019-05-24 06:17 - 000000400 _____ C:\Users\Default\AppData\README.txt
2019-05-24 06:17 - 2019-05-24 06:17 - 000000400 _____ C:\Users\Default User\Documents\README.txt
2019-05-24 06:17 - 2019-05-24 06:17 - 000000400 _____ C:\Users\Default User\AppData\Roaming\README.txt
2019-05-24 06:17 - 2019-05-24 06:17 - 000000400 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-24 06:17 - 2019-05-24 06:17 - 000000400 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
2019-05-24 06:17 - 2019-05-24 06:17 - 000000400 _____ C:\Users\Default User\AppData\README.txt
2019-05-24 06:16 - 2019-05-24 06:16 - 000000400 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
2019-05-24 06:16 - 2019-05-24 06:16 - 000000400 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\README.txt
2019-05-24 06:13 - 2019-05-24 06:13 - 000000400 _____ C:\Users\Все пользователи\README.txt
2019-05-24 06:13 - 2019-05-24 06:13 - 000000400 _____ C:\ProgramData\README.txt
2019-05-24 05:55 - 2019-05-24 05:55 - 000000400 _____ C:\Program Files (x86)\README.txt
2019-05-24 04:15 - 2019-05-24 04:15 - 000000400 _____ C:\Program Files\Common Files\README.txt
2019-05-24 03:28 - 2019-05-24 03:28 - 000000400 _____ C:\Program Files\README.txt
2019-05-24 03:16 - 2019-05-24 03:16 - 000000400 _____ C:\Windows\SysWOW64\README.txt
2019-05-24 03:16 - 2019-05-24 03:16 - 000000400 _____ C:\Windows\SysWOW64\Drivers\README.txt

Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Подбор пароля администратора домена или пользователя russu_ds ( У него только права пользователя на компе)?

 

Еще вопрос - этот шифровальщик на компьютере, где заражает - уничтожается при перезагрузке компа во время работы или при обрыве соединения по локальной сети (т.е. он сидит в памяти) или он останавливает свою деятельность, сидит на диске и его не видят антивирусы?   

Потому что было так: мы подошли к компу в 9.20, закачали по сетке dr.web он ничего не нашел и после этого процесс шифрования остановился. Правда мы при этом выдернули сеть.

Fixlog.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Логи исследования не покажут, под каким пользователем был вход.

 

У этого вируса есть и вариант по сети, и вариант для одного компьютера. Причем вирус просто переименовывает даже свое тело во время шифрования, заменяя все символы имени на его шестнадцатиричное представление, как и для других файлов. При этом себя он не зашифровывает, в отличие от остальных файлов.

Имя, которое я встречал в последних версиях - Microsoft update.exe и Microsoft update_lan.exe (или как-то так). И да, в автозапуск при старте он не прописывается, что является еще одним доказательством ручного запуска после входа по RDP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Логи исследования не покажут, под каким пользователем был вход.

 

У этого вируса есть и вариант по сети, и вариант для одного компьютера. Причем вирус просто переименовывает даже свое тело во время шифрования, заменяя все символы имени на его шестнадцатиричное представление, как и для других файлов. При этом себя он не зашифровывает, в отличие от остальных файлов.

Имя, которое я встречал в последних версиях - Microsoft update.exe и Microsoft update_lan.exe (или как-то так). И да, в автозапуск при старте он не прописывается, что является еще одним доказательством ручного запуска после входа по RDP.

 

Ясно, а этот вирус шифровальщик CryptConsole 3 - Kasprersky может обнаружить и удалить его?  Пока все наши проверки безисходны.

И мы можем заново переустанавливать зашифрованные пользовательские машины, сохраняя не зашифрованные данные и быть уверенными, что его там среди папок пользователей нет?

 

И еще вопрос на сайте майкрософт вышла очередная заплатка, связанная с RDP https://itldc.com/ru/blog/cve-2019-0708/

Так вот проникновения вируса на наши машины пользователей Win XP и 7 Pro связано с этой уязвимостью или нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

По логам сданного компьютера активного шифраора не видно, даже в переименованном варианте. Но у Вас ведь несколько машин пострадало и неясно, какая из них была источником бед.

 

Так вот проникновения вируса на наши машины пользователей Win XP и 7 Pro связано с этой уязвимостью или нет?

С этой вряд ли. Брут простого пароля рулит во все времена.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

По логам сданного компьютера активного шифраора не видно, даже в переименованном варианте. Но у Вас ведь несколько машин пострадало и неясно, какая из них была источником бед.

 

 

 

 

Вроде нашли источник - машина с фаерволом, смотрела во внешний мир, но в ней все зашифровано, даже антивирус. Отключили ее от сети, но не выключили. После этого в сети  все прекратилось. К ней не подцепить ни одно устройство - оно не распознается, чтобы запустить утилиты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Авторизация  

×
×
  • Создать...