Перейти к содержанию

.[cryptocash@aol.com].CASH

Владимир Нестеренко

Автор Владимир Нестеренко
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Владимир Нестеренко

Владимир Нестеренко

Опубликовано
Опубликовано

Поймали Шифровальщика. Файлы Зашифрованы от 03,11,2019. Запуск был от пользователя rdp со слабым паролем(недосмотрел блин).

 

 

Результаты Farbar Recovery Scan Tool прилагаю 

Addition.txt

FRST.txt

Shortcut.txt

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Расшифровки этой версии вымогателя нет, к сожалению.

 

Запуск был от пользователя rdp со слабым паролем

Не забудьте сменить пароль, а также пересмотрите большое количество администраторов системы, все ли нужны.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-11-09] () [File not signed]
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {73627A62-10D5-4948-A140-B47018E2E754} - System32\Tasks\DRPNPS => Command(1): mshta.exe -> "http://update.drp.su/nps/offline/bin/tools/run.hta" "17.7.73 Offline" "1549021994641" "d401a645-61f3-4755-856c-4b31afdfdacd"
Task: {73627A62-10D5-4948-A140-B47018E2E754} - System32\Tasks\DRPNPS => Command(2): SCHTASKS -> /Delete /TN DRPNPS /F
CHR StartupUrls: Default -> "hxxp://mypoisk.su/"
CHR DefaultSearchURL: Default -> hxxp://searchtds.ru/?ref=6cd8t&q={searchTerms}&do=search&subaction=search&subId=764sbor
CHR DefaultSearchKeyword: Default -> mail.ru
2019-11-09 12:24 - 2019-11-09 12:24 - 000116470 _____ C:\Users\user1\Downloads\local.exe.id-5CA9713F.[cryptocash@aol.com].CASH
2019-11-03 13:01 - 2019-11-09 12:24 - 000013922 _____ C:\Users\user1\AppData\Roaming\Info.hta
2019-11-03 13:00 - 2019-11-09 12:24 - 000000220 _____ C:\Users\user1\Desktop\FILES ENCRYPTED.txt
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Видны контрольные точки.

Пробуйте восстановить файлы средствами Windows.

Только будьте внимательны, это не значит откатить всю систему.

Владимир Нестеренко

Владимир Нестеренко

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Расшифровки этой версии вымогателя нет, к сожалению.

 

Запуск был от пользователя rdp со слабым паролем

Не забудьте сменить пароль, а также пересмотрите большое количество администраторов системы, все ли нужны.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-11-09] () [File not signed]
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {73627A62-10D5-4948-A140-B47018E2E754} - System32\Tasks\DRPNPS => Command(1): mshta.exe -> "http://update.drp.su/nps/offline/bin/tools/run.hta" "17.7.73 Offline" "1549021994641" "d401a645-61f3-4755-856c-4b31afdfdacd"
Task: {73627A62-10D5-4948-A140-B47018E2E754} - System32\Tasks\DRPNPS => Command(2): SCHTASKS -> /Delete /TN DRPNPS /F
CHR StartupUrls: Default -> "hxxp://mypoisk.su/"
CHR DefaultSearchURL: Default -> hxxp://searchtds.ru/?ref=6cd8t&q={searchTerms}&do=search&subaction=search&subId=764sbor
CHR DefaultSearchKeyword: Default -> mail.ru
2019-11-09 12:24 - 2019-11-09 12:24 - 000116470 _____ C:\Users\user1\Downloads\local.exe.id-5CA9713F.[cryptocash@aol.com].CASH
2019-11-03 13:01 - 2019-11-09 12:24 - 000013922 _____ C:\Users\user1\AppData\Roaming\Info.hta
2019-11-03 13:00 - 2019-11-09 12:24 - 000000220 _____ C:\Users\user1\Desktop\FILES ENCRYPTED.txt
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Видны контрольные точки.

Пробуйте восстановить файлы средствами Windows.

Только будьте внимательны, это не значит откатить всю систему.

 

 

Вот

Fixlog.txt

Sandor

Sandor

Опубликовано
Опубликовано

Не цитируйте, пожалуйста, полностью предыдущее сообщение. Есть форма быстрого ответа.

 

Пробуйте восстановить файлы средствами Windows.

Пробовали?
Владимир Нестеренко

Владимир Нестеренко

Опубликовано
  • Автор
Опубликовано

Да над восстановлением я как то особо не парюсь) есть образ почти всего что было на дисках(благо базу фаербёрда не тронул), просто хочется на 100% быть уверенным что шифратора нет в системе. А так через кого зашли и почему смогли зайти ясно как белый день, 2й раз на эти грабли наступаю. 1но НО на практике даже Сильные пароли не всегда спасают если у клиента РДП на его устройствах слабая защита или пользователь совсем тапочек.

Sandor

Sandor

Опубликовано
Опубликовано

шифратора нет в системе

По логам не видно.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • suhrob
      Как расшифровать файлы id-76CD7BDD.[decrypthelp@qq.com].java
      Автор suhrob
      добрый день коллеги, на мой комп внедрился вирус  decrypthelp@qq.com(( работал над php файлами, можно ли их расшифровать? 
      sirena-KorvonT.rar
    • Алео
      Как расшифровать файлы .java (возможно CrySiS/Dharma)
      Автор Алео
      Коллеги подцепили вирус шифровальщик. Были заражены компьютеры с информацией по Итальянским партнерам, то что могли восстановить восстановили но осталось много важных документов без копии. Файлы приобрели название типа
      miofile.txt.txt.id-0CBE61F3.[Vegas_MOZ6@protonmail.com].java
      12 Traccia 12.wma.id-0CBE61F3.[Vegas_MOZ6@protonmail.com].java
       
      Что делать и кто виноват в ненадлежащей безопасности ясно. Нужно понять есть ли возможность не идти на поводу у хакеров и не платить или все же придется платить. Каковы шансы обойтись без оплаты хакерам? Восстанавливать по любому придется только вот если платить то лучше не хакерам. 
      Пробовал ransomwarefiledecryptor на образцы зашифрованных файлов применить. В поле тип вируса писал не знаю - определялось как Crysis зараженные файлы находились а расшифрованные=0
       Те кто мне пересылал написали что это один из вариантов CrySiS называется Dharma но они не уверены
      Выслали мне наконец требуемый Collectionlog+требование оплатить расшифровку+ есть образцы зашифрованных файлов. несколько файлов в зашифрованном и не зашифрованном виде - оригинал+зашифрованная версия (то что предлагалось расшифровать бесплатно)
       
      CollectionLog-2018.02.27-17.30.zip
      образцы файлов зашифрованный и оригинал.zip
      требование оплатить расшифровку.zip
    • NGS54
      Зашифровали файлы.
      Автор NGS54
      Вирус Dharma ransomware зашифровал все файлы на компьютере. Вирус оставил почту decrypthelp@qq.com и перешифровал все файлы с добавкой .java . За расшифровку просят 200 тыс руб. Платить такие деньги в моём случае не вариант. Есть ли возможность расшифровать или восстановить файлы? Заранее благодарю за помощь. 
    • maximuss
      Зашифрованные файлы crysis
      Автор maximuss
      Файлы зашифрованы, понятным образом с расширением .java есть исполняемый файл вируса, оригинал и копия зашифрованных файлов. скорее всего crysis.
      CollectionLog-2018.02.27-22.17.zip
    • Aleks85
      зашифрованы вирусом [decrypthelp@qq.com].java
      Автор Aleks85
      Зашифрованы файлы на server 2008 r2
      файл вируса прикрепляю + логи от FRST
      Прошу помочь.
       
      Addition.txt
      FRST.txt
×
×
  • Создать...