Перейти к содержанию

Шифровщик [ferrlock@cock.li].yoba


Рекомендуемые сообщения

Здравствуйте!

 

Поймали шифровщика, имена файлов приняли вид *.[ferrlock@cock.li].yoba.

 

Первопричина - по всей видимости письмо, хотя вариант с RDP тоже не могу исключить. Зацепило файлы на локальном компе, и частично затронуло на шаре (есть и зашифрованые файлы и их оригиналы).

 

ESET отработал, вот его лог:

ESET:

Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\x64\mimilib.dll;модифицированный Win64/Riskware.Mimikatz.U приложение;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;B15FD940FB244CB030BD19E53A74AAA656215A61;
Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\x64\mimikatz.exe;модифицированный Win64/Riskware.Mimikatz.D приложение;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;BCD703932C9BEDE27659407E458AE103D0B4CC88;
Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\x64\mimidrv.sys;модифицированный Win64/Riskware.Mimikatz.I приложение;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;C42178977BD7BBEFE084DA0129ED808CB7266204;
Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\Win32\mimilove.exe;модифицированный Win32/RiskWare.Mimikatz.P приложение;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;9AD902B8E0DF0DF6D3C67C3E05CD9E8202695E13;
Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\Win32\mimilib.dll;модифицированный Win32/RiskWare.Mimikatz.J приложение;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;7A93B77707A493DE042D699CE7486054636584E9;
Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\Win32\mimikatz.exe;модифицированный Win32/RiskWare.Mimikatz.E приложение;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;D0B710FB6CAE626D8570D4457DB1E47262DC76CC;
Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\tosenderbuild.exe;модифицированный Win32/Filecoder.EQ троянская программа;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;E9088C32F955EBA6E7CD74E4F3DBB21F67E26B17;
Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\exp\CVEx86.exe;модифицированный Win32/TrojanDownloader.Agent.DMC троянская программа;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;B3423B5D096CF915019CD8D7C994CF9919523901;
Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\exp\CVEx64.exe;Win64/Exploit.CVE-2017-0213.A троянская программа;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;C8CEE35F713031CA109DFFAE4FBEDE766D427E08;
Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\del service.bat;BAT/Agent.OPN троянская программа;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;8B77E8888276C8CE99746A7C0D5CA3F93EA9DEE8;

 

 

После этого Kaspersky VRT и DrWeb уже ничего не нашли.

emisoft предложил утилиту, но не помогла.

 

Логи во вложении.

 

Прошу навести на возможный путь восстановления файлов.

CollectionLog-2019.09.25-10.01.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

С восстановлением пока неясно.

В тех-поддержку антивируса обращались?

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Один из файлов !=How_recovery_files=!.txt вместе с парой-тройкой небольших зашифрованных офисных документов упакуйте в архив и прикрепите к следующему сообщению.

 

В ТП все отправил, ждем ответа

Здесь тоже сообщите ответ, пожалуйста.
Ссылка на комментарий
Поделиться на другие сайты

Один из файлов !=How_recovery_files=!.txt вместе с парой-тройкой небольших зашифрованных офисных документов упакуйте в архив и прикрепите к следующему сообщению.

 

 

В приложении. Зашифрованные файлы и оригинальная копия.

 

 

Здесь тоже сообщите ответ, пожалуйста.

 

 

Обязательно.

Crypted.7z

Ссылка на комментарий
Поделиться на другие сайты

  • 2 weeks later...
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • LeoNid2024
      От LeoNid2024
      Был взломан сервер по rdp, все файлы зашифрованы, NAS к сожалению не работал.
      Система просканирована kvrt.exe. Найдено вредоносное ПО. 
       
       
       
      KVRT2020_Data.zip
      Зашифрованные файлы.zip
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • KOte
      От KOte
      Поймали шифровальщик. вымогатель юлит, не дает гарантии что все будет восстановлено. Собрал все файлы открыл тему.
      Addition.txt FRST.txt Read Instructions.txt virus.rar
    • Apotka
      От Apotka
      Доброго времени суток, 08.04.24 в 00:45 по МСК (судя по дате создания файла записки вымогателей) *.exe файлы не пострадали, под удар попали различные БД 1С, сервис Забота, аудио видео файлы и MS office

      Корневой файл заражения нам найти не удалось при ручном поиске, KVRT показал наличие 1 угрозы

      В сервисе "крипто шериф" декприптора на наш случай не нашлось,

      Следовал инструкции найденной на одном из порталов 

      Также изучил похожую тему на наш случай на этом форуме
       

      и выполнил сканирование утилитой Farbar Recovery Scan Tool. а также по инструкции по созданию обращения AutoLogger внутри архива report1.log и report2.log
      зашифрованные файлы не содержат конфиденциальных данных, находятся в архиве Encripted с таким же паролем, внутри также записка вымогателя

      Addition.txt Encripted.zip FRST.txt CollectionLog-2024.04.08-15.34.zip
    • Rusyan
      От Rusyan
      Добрый день.
      Помогите опознать вирус-шифровальщик. Файлы имеют расширение doome7Ei
      Ежедневные задания по работам.rar
      Шифровальщик зашифровал все файлы на компе, помогите разобраться, есть ли шанс восстановить?
       
×
×
  • Создать...