Перейти к содержанию

Шифровщик [ferrlock@cock.li].yoba

Arhantropx
 Поделиться

Рекомендуемые сообщения

Arhantropx

Arhantropx

Опубликовано
Опубликовано

Здравствуйте!

 

Поймали шифровщика, имена файлов приняли вид *.[ferrlock@cock.li].yoba.

 

Первопричина - по всей видимости письмо, хотя вариант с RDP тоже не могу исключить. Зацепило файлы на локальном компе, и частично затронуло на шаре (есть и зашифрованые файлы и их оригиналы).

 

ESET отработал, вот его лог:

ESET:

Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\x64\mimilib.dll;модифицированный Win64/Riskware.Mimikatz.U приложение;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;B15FD940FB244CB030BD19E53A74AAA656215A61;
Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\x64\mimikatz.exe;модифицированный Win64/Riskware.Mimikatz.D приложение;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;BCD703932C9BEDE27659407E458AE103D0B4CC88;
Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\x64\mimidrv.sys;модифицированный Win64/Riskware.Mimikatz.I приложение;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;C42178977BD7BBEFE084DA0129ED808CB7266204;
Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\Win32\mimilove.exe;модифицированный Win32/RiskWare.Mimikatz.P приложение;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;9AD902B8E0DF0DF6D3C67C3E05CD9E8202695E13;
Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\Win32\mimilib.dll;модифицированный Win32/RiskWare.Mimikatz.J приложение;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;7A93B77707A493DE042D699CE7486054636584E9;
Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\Win32\mimikatz.exe;модифицированный Win32/RiskWare.Mimikatz.E приложение;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;D0B710FB6CAE626D8570D4457DB1E47262DC76CC;
Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\tosenderbuild.exe;модифицированный Win32/Filecoder.EQ троянская программа;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;E9088C32F955EBA6E7CD74E4F3DBB21F67E26B17;
Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\exp\CVEx86.exe;модифицированный Win32/TrojanDownloader.Agent.DMC троянская программа;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;B3423B5D096CF915019CD8D7C994CF9919523901;
Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\exp\CVEx64.exe;Win64/Exploit.CVE-2017-0213.A троянская программа;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;C8CEE35F713031CA109DFFAE4FBEDE766D427E08;
Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\del service.bat;BAT/Agent.OPN троянская программа;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;8B77E8888276C8CE99746A7C0D5CA3F93EA9DEE8;

 

 

После этого Kaspersky VRT и DrWeb уже ничего не нашли.

emisoft предложил утилиту, но не помогла.

 

Логи во вложении.

 

Прошу навести на возможный путь восстановления файлов.

CollectionLog-2019.09.25-10.01.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

С восстановлением пока неясно.

В тех-поддержку антивируса обращались?

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Один из файлов !=How_recovery_files=!.txt вместе с парой-тройкой небольших зашифрованных офисных документов упакуйте в архив и прикрепите к следующему сообщению.

 

В ТП все отправил, ждем ответа

Здесь тоже сообщите ответ, пожалуйста.
Arhantropx

Arhantropx

Опубликовано
  • Автор
Опубликовано

Один из файлов !=How_recovery_files=!.txt вместе с парой-тройкой небольших зашифрованных офисных документов упакуйте в архив и прикрепите к следующему сообщению.

 

 

В приложении. Зашифрованные файлы и оригинальная копия.

 

 

Здесь тоже сообщите ответ, пожалуйста.

 

 

Обязательно.

Crypted.7z

thyrex

thyrex

Опубликовано
Опубликовано

Desktop\444\tosenderbuild.exe - возможно восстановить из карантина Eset?

Arhantropx

Arhantropx

Опубликовано
  • Автор
Опубликовано

Desktop\444\tosenderbuild.exe - возможно восстановить из карантина Eset?

 

Нет, удален, минуя карантин.

thyrex

thyrex

Опубликовано
Опубликовано

Увы, без тела самого шифратора сказать что-то определенное трудно.

  • 2 недели спустя...
Максим Купресов

Максим Купресов

Опубликовано
Опубликовано

Добрый день! Вопрос не решился? у меня произошло то-же самое. Точно через RDP

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Константин Нездиминов
      Зашифрованы разделы
      Автор Константин Нездиминов
      Здравствуйте! В локальную сеть организации попал шифровальщик.  Шифрует только системный раздел с установленной ОС. Загрузочный раздел и раздел восстановления не зашифрованы.
      Никаких требований выкупа нет. Есть образ частично зашифрованного диска на 256 ГБ, если понадобится(первые 70 ГБ зашифрованы, дальше процесс почему-то прервался).
      Можно ли как нибудь помочь?
      Спасибо большое!
      Сделал копию первых 2000000 секторов и последних 2000000 секторов полностью зашифрованного диска в файл виртуального диска(https://dropmefiles.com/yWfs8)
    • Konsta812
      Зашифрованные файлы с расширением 89vINnQSL
      Автор Konsta812
      Здравствуйте!
      Пожалуйста, помогите с расшифровкой файлов.
      Пользователем по невнимательности был запущен файл из письма.
      Сработал шифровальщик, после чего зашифрованные файл получили расширение 89vINnQSL
      Заранее признателен за любую помощь! 
    • Moritto
      Шифровальщик ixvB60I6b
      Автор Moritto
      Зашифровались все файлы на ноутбуке - файлы стали с расширением ixvB60I6b, а также сервер. Помогите, пожалуйста, вернуть файлы
      Addition.txt FRST.txt
    • Шиловский
      Шифровальщик; *.putin; Conti(Meow)?
      Автор Шиловский
      Добрый день.
       
      Система загружается. Файлы зашифрованы. Шифровальщик не детектируется. Во вложении логи FRST(FRST_logs.zip) и два семпла с запиской(Samples.zip).
       
      Помогите, пожалуйста.
      FRST_logs.zip Samples.zip
    • Study
      Шифровальщик M0rphine
      Автор Study
      Здравствуйте! Обращаюсь по не совсем рекомендуемой форме. Войти в систему под админом не удалось - изменена учетка администратора домена. Подключили диск к другой системе. 
      На сервере 2003 оказались зашифрованы файлы. Предположительно, было проникновение по RDP и шифровальщик запущен вручную.
      В корне C: обнаружен файл mor.exe, расширения зашифрованных файлов - .M0rphine.
      В прикрепленных файлах скрины сообщения, образец зашифрованного файла и файл HTML приложения(переименован), которое запускает сообщение (в архиве).
      Пока никакой информации по этому шифровальщику в инете не нашел.
      Надеюсь на вашу помощь. Спасибо.


      files.zip
×
×
  • Создать...