Шифровщик [ferrlock@cock.li].yoba

[Arhantropx]

Здравствуйте!

 

Поймали шифровщика, имена файлов приняли вид *.[ferrlock@cock.li].yoba.

 

Первопричина - по всей видимости письмо, хотя вариант с RDP тоже не могу исключить. Зацепило файлы на локальном компе, и частично затронуло на шаре (есть и зашифрованые файлы и их оригиналы).

 

ESET отработал, вот его лог:

ESET:

Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\x64\mimilib.dll;модифицированный Win64/Riskware.Mimikatz.U приложение;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;B15FD940FB244CB030BD19E53A74AAA656215A61;
Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\x64\mimikatz.exe;модифицированный Win64/Riskware.Mimikatz.D приложение;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;BCD703932C9BEDE27659407E458AE103D0B4CC88;
Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\x64\mimidrv.sys;модифицированный Win64/Riskware.Mimikatz.I приложение;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;C42178977BD7BBEFE084DA0129ED808CB7266204;
Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\Win32\mimilove.exe;модифицированный Win32/RiskWare.Mimikatz.P приложение;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;9AD902B8E0DF0DF6D3C67C3E05CD9E8202695E13;
Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\Win32\mimilib.dll;модифицированный Win32/RiskWare.Mimikatz.J приложение;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;7A93B77707A493DE042D699CE7486054636584E9;
Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\Win32\mimikatz.exe;модифицированный Win32/RiskWare.Mimikatz.E приложение;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;D0B710FB6CAE626D8570D4457DB1E47262DC76CC;
Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\tosenderbuild.exe;модифицированный Win32/Filecoder.EQ троянская программа;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;E9088C32F955EBA6E7CD74E4F3DBB21F67E26B17;
Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\exp\CVEx86.exe;модифицированный Win32/TrojanDownloader.Agent.DMC троянская программа;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;B3423B5D096CF915019CD8D7C994CF9919523901;
Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\exp\CVEx64.exe;Win64/Exploit.CVE-2017-0213.A троянская программа;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;C8CEE35F713031CA109DFFAE4FBEDE766D427E08;
Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\del service.bat;BAT/Agent.OPN троянская программа;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;8B77E8888276C8CE99746A7C0D5CA3F93EA9DEE8;

 

 

После этого Kaspersky VRT и DrWeb уже ничего не нашли.

emisoft предложил утилиту, но не помогла.

 

Логи во вложении.

 

Прошу навести на возможный путь восстановления файлов.

CollectionLog-2019.09.25-10.01.zip

[Sandor]

Здравствуйте!

 

С восстановлением пока неясно.

В тех-поддержку антивируса обращались?

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Arhantropx]

@Sandor,

 

В ТП все отправил, ждем ответа.

 

Отчеты FRST в приложении.

Addition.txt

FRST.txt

[Sandor]

Один из файлов !=How_recovery_files=!.txt вместе с парой-тройкой небольших зашифрованных офисных документов упакуйте в архив и прикрепите к следующему сообщению.

 

В ТП все отправил, ждем ответа

Здесь тоже сообщите ответ, пожалуйста.

[Arhantropx]

Один из файлов !=How_recovery_files=!.txt вместе с парой-тройкой небольших зашифрованных офисных документов упакуйте в архив и прикрепите к следующему сообщению.

 

 

В приложении. Зашифрованные файлы и оригинальная копия.

 

 

Здесь тоже сообщите ответ, пожалуйста.

 

 

Обязательно.

Crypted.7z

[thyrex]

Desktop\444\tosenderbuild.exe - возможно восстановить из карантина Eset?

[Arhantropx]

Desktop\444\tosenderbuild.exe - возможно восстановить из карантина Eset?

 

Нет, удален, минуя карантин.

[thyrex]

Увы, без тела самого шифратора сказать что-то определенное трудно.

[Максим Купресов]

Добрый день! Вопрос не решился? у меня произошло то-же самое. Точно через RDP

[thyrex]

@Максим Купресов,создавайте свою тему, а не пишите в чужой