Перейти к содержанию

.[cryptocash@aol.com].CASH

Владимир Нестеренко

От Владимир Нестеренко
в Помощь в борьбе с шифровальщиками-вымогателями

 Share

Рекомендуемые сообщения

Владимир Нестеренко Новичок

Владимир Нестеренко

Опубликовано
Опубликовано

Поймали Шифровальщика. Файлы Зашифрованы от 03,11,2019. Запуск был от пользователя rdp со слабым паролем(недосмотрел блин).

 

 

Результаты Farbar Recovery Scan Tool прилагаю 

Addition.txt

FRST.txt

Shortcut.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Расшифровки этой версии вымогателя нет, к сожалению.

 

Запуск был от пользователя rdp со слабым паролем

Не забудьте сменить пароль, а также пересмотрите большое количество администраторов системы, все ли нужны.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-11-09] () [File not signed]
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {73627A62-10D5-4948-A140-B47018E2E754} - System32\Tasks\DRPNPS => Command(1): mshta.exe -> "http://update.drp.su/nps/offline/bin/tools/run.hta" "17.7.73 Offline" "1549021994641" "d401a645-61f3-4755-856c-4b31afdfdacd"
Task: {73627A62-10D5-4948-A140-B47018E2E754} - System32\Tasks\DRPNPS => Command(2): SCHTASKS -> /Delete /TN DRPNPS /F
CHR StartupUrls: Default -> "hxxp://mypoisk.su/"
CHR DefaultSearchURL: Default -> hxxp://searchtds.ru/?ref=6cd8t&q={searchTerms}&do=search&subaction=search&subId=764sbor
CHR DefaultSearchKeyword: Default -> mail.ru
2019-11-09 12:24 - 2019-11-09 12:24 - 000116470 _____ C:\Users\user1\Downloads\local.exe.id-5CA9713F.[cryptocash@aol.com].CASH
2019-11-03 13:01 - 2019-11-09 12:24 - 000013922 _____ C:\Users\user1\AppData\Roaming\Info.hta
2019-11-03 13:00 - 2019-11-09 12:24 - 000000220 _____ C:\Users\user1\Desktop\FILES ENCRYPTED.txt
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Видны контрольные точки.

Пробуйте восстановить файлы средствами Windows.

Только будьте внимательны, это не значит откатить всю систему.

Ссылка на комментарий
Поделиться на другие сайты
Владимир Нестеренко Новичок

Владимир Нестеренко

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Расшифровки этой версии вымогателя нет, к сожалению.

 

Запуск был от пользователя rdp со слабым паролем

Не забудьте сменить пароль, а также пересмотрите большое количество администраторов системы, все ли нужны.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-11-09] () [File not signed]
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {73627A62-10D5-4948-A140-B47018E2E754} - System32\Tasks\DRPNPS => Command(1): mshta.exe -> "http://update.drp.su/nps/offline/bin/tools/run.hta" "17.7.73 Offline" "1549021994641" "d401a645-61f3-4755-856c-4b31afdfdacd"
Task: {73627A62-10D5-4948-A140-B47018E2E754} - System32\Tasks\DRPNPS => Command(2): SCHTASKS -> /Delete /TN DRPNPS /F
CHR StartupUrls: Default -> "hxxp://mypoisk.su/"
CHR DefaultSearchURL: Default -> hxxp://searchtds.ru/?ref=6cd8t&q={searchTerms}&do=search&subaction=search&subId=764sbor
CHR DefaultSearchKeyword: Default -> mail.ru
2019-11-09 12:24 - 2019-11-09 12:24 - 000116470 _____ C:\Users\user1\Downloads\local.exe.id-5CA9713F.[cryptocash@aol.com].CASH
2019-11-03 13:01 - 2019-11-09 12:24 - 000013922 _____ C:\Users\user1\AppData\Roaming\Info.hta
2019-11-03 13:00 - 2019-11-09 12:24 - 000000220 _____ C:\Users\user1\Desktop\FILES ENCRYPTED.txt
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Видны контрольные точки.

Пробуйте восстановить файлы средствами Windows.

Только будьте внимательны, это не значит откатить всю систему.

 

 

Вот

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Не цитируйте, пожалуйста, полностью предыдущее сообщение. Есть форма быстрого ответа.

 

Пробуйте восстановить файлы средствами Windows.

Пробовали?
Ссылка на комментарий
Поделиться на другие сайты
Владимир Нестеренко Новичок

Владимир Нестеренко

Опубликовано
  • Автор
Опубликовано

Да над восстановлением я как то особо не парюсь) есть образ почти всего что было на дисках(благо базу фаербёрда не тронул), просто хочется на 100% быть уверенным что шифратора нет в системе. А так через кого зашли и почему смогли зайти ясно как белый день, 2й раз на эти грабли наступаю. 1но НО на практике даже Сильные пароли не всегда спасают если у клиента РДП на его устройствах слабая защита или пользователь совсем тапочек.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

шифратора нет в системе

По логам не видно.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Serg1619
      Поймал шифровальщик со странным расширением abdula.a@aol.com
      От Serg1619
      С утра на сервере все значки стали тектостовыми файлами с расширением abdula.a@aol.com,при открытии фаилой везде открывается блокном с требованием написать им на почту для того чтоб разблокировать.
      Как то можно расшифровать все файлы?или все уже безнадежно?
    • PvC
      Шифровальщик id[EA15627C-3531].[Accord77777@​aol.com].faust
      От PvC
      Здравствуйте. Требуется помощь по расшифровке.
      Тип шифровальщика - id[EA15627C-3531].[Accord77777@aol.com].faust
      Addition.txt FRST.txt Образцы.zip
    • DDreal
      Вирус шифровальщик id[66AE5CCB-3531].[Accord77777@​aol.com].faust
      От DDreal
      добрый день, существует ли на сегодня расшифровка данного типа вируса.
      id[66AE5CCB-3531].[Accord77777@aol.com].faust 
      есть сам вирус есть зашифрованный файл есть так же расшифрованный
       
       
    • АндрейЛ
      расшифровка [backdata.company@aol.com].ROGER
      От АндрейЛ
      День добрый!
       
      Вирус пришел по RDP и встал в автозагрузку, успел попортить ряд документов до того, как был остановлен.
      Буду благодарен, если появилcя или появится декриптор..
       
      Пример файлов - исходного и зашифрованного EMenuRus.lng в папке
      https://drive.google.com/drive/folders/1WRLXqlWsNhSqUeAnloQ5JiGTvGGfjmzk?usp=sharing
       
      Там же с паролем 1 лежит сам вирус..
    • sid_corei7
      affected with .LOCKYOU extension. (decryptforyou@aol.com)
      От sid_corei7
      i am affected with .lockyou extension ransomware. - can anyone have solution for this? plz guide.
       
×
×
  • Создать...