Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

manyfiles@aol.com.harma

vchikarin
 Поделиться

Рекомендуемые сообщения

vchikarin

vchikarin

Опубликовано
Опубликовано (изменено)

Добрый день

 

Очень нужна помощь в дешифровке файлов

Мои знакомые словили шифровальщика на сервере со всеми базами 1С 

все файлы имеют окончание id-48805447.[manyfiles@aol.com].harma

Им бы хотя бы бэкапы расшифровать (дада, бэкапы лежат на том же серврере)

 

Будут весьма благодарны

FRST.txt

Addition.txt

Shortcut.txt

Изменено пользователем vchikarin
thyrex

thyrex

Опубликовано
Опубликовано

Расшифровки нет. Будет только зачистка мусора.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\...\Run: [] => [X]
HKLM\...\Run: [1W72451_payload.exe] => C:\WINDOWS\System32\1W72451_payload.exe [94720 2020-04-02] ()
HKLM\...\Run: [C:\WINDOWS\System32\Info.hta] => C:\WINDOWS\System32\Info.hta [13923 2020-04-02] ()
HKLM\...\Run: [C:\Documents and Settings\Администратор\Application Data\Info.hta] => C:\Documents and Settings\Администратор\Application Data\Info.hta [13923 2020-04-02] ()
2020-04-02 15:14 - 2020-04-02 15:14 - 000013923 _____ C:\Documents and Settings\Администратор\Application Data\Info.hta
C:\WINDOWS\System32\Info.hta
C:\WINDOWS\System32\1W72451_payload.exe
2020-04-02 15:14 - 2020-04-02 15:14 - 000000224 _____ C:\FILES ENCRYPTED.txt
2020-04-02 15:14 - 2020-04-02 15:14 - 000000224 _____ C:\Documents and Settings\Администратор\Рабочий стол\FILES ENCRYPTED.txt
2020-04-02 15:14 - 2020-04-02 15:14 - 000000224 _____ C:\Documents and Settings\All Users\Рабочий стол\FILES ENCRYPTED.txt
2020-04-02 14:37 - 2020-04-02 14:37 - 000094720 _____ C:\WINDOWS\system32\1W72451_payload.exe
2020-04-02 14:37 - 2019-09-12 21:42 - 000094720 ____R C:\Documents and Settings\Администратор\Рабочий стол\1W72451_payload.exe
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.
vchikarin

vchikarin

Опубликовано
  • Автор
Опубликовано (изменено)

Вирус еще активен.

Доступ есть пока только через RDP.

При нажатии на FIX он перезагрузился. И лог зашифровался.

Сейчас попробую KVRT прогнать, но там ооочень медленный интернет долго будет закачиваться

Fixlog.txt

Изменено пользователем vchikarin
vchikarin

vchikarin

Опубликовано
  • Автор
Опубликовано

Пробую, автосборщик работает только через консоль, а у меня RDP, сейчас попробую задействовать AMMYY


Собрал логи


Если необходимо, могу приложить сам файл вируса

CollectionLog-2020.04.03-10.30.zip

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Documents and Settings\chikarin\Application Data\1W72451_payload.exe','');
 QuarantineFile('C:\Documents and Settings\chikarin\Главное меню\Программы\Автозагрузка\1W72451_payload.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\1W72451_payload.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\1W72451_payload.exe','');
 TerminateProcessByName('c:\windows\system32\1w72451_payload.exe');
 QuarantineFile('c:\windows\system32\1w72451_payload.exe','');
 DeleteFile('c:\windows\system32\1w72451_payload.exe','32');
 DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\1W72451_payload.exe','32');
 DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\Info.hta','32');
 DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\1W72451_payload.exe','32');
 DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\Info.hta','32');
 DeleteFile('C:\Documents and Settings\chikarin\Главное меню\Программы\Автозагрузка\1W72451_payload.exe','32');
 DeleteFile('C:\Documents and Settings\chikarin\Главное меню\Программы\Автозагрузка\Info.hta','32');
 DeleteFile('C:\Documents and Settings\chikarin\Application Data\1W72451_payload.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1W72451_payload.exe','x32');
 DeleteFile('C:\WINDOWS\System32\Info.hta','32');
 DeleteFile('C:\Documents and Settings\chikarin\Application Data\Info.hta','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке ссылке https://virusinfo.info/upload_virus.php?tid=37678.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\...\Run: [C:\WINDOWS\System32\Info.hta] => mshta.exe "C:\WINDOWS\System32\Info.hta"
HKLM\...\Run: [C:\Documents and Settings\chikarin\Application Data\Info.hta] => mshta.exe "C:\Documents and Settings\chikarin\Application Data\Info.hta"
HKLM\...\Run: [C:\Documents and Settings\Пользователь1.SERVER\Application Data\Info.hta] => C:\Documents and Settings\Пользователь1.SERVER\Application Data\Info.hta [13923 2020-04-03] () [File not signed]
S3 WinHttpAutoProxySvc; winhttp.dll [X]
S2 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X]
2020-04-03 11:49 - 2020-04-03 11:49 - 000013923 _____ C:\Documents and Settings\Пользователь1.SERVER\Application Data\Info.hta
2020-04-03 09:51 - 2020-04-03 11:49 - 000000224 _____ C:\FILES ENCRYPTED.txt
2020-04-03 09:51 - 2020-04-03 11:49 - 000000224 _____ C:\Documents and Settings\All Users\Рабочий стол\FILES ENCRYPTED.txt
2020-04-03 09:51 - 2020-04-03 10:31 - 000000224 _____ C:\Documents and Settings\chikarin\Рабочий стол\FILES ENCRYPTED.txt
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.
vchikarin

vchikarin

Опубликовано
  • Автор
Опубликовано

ОК, спасибо.

 

Видать придется им заплатить вымогателям

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Сергей47
      c0v1d19@job4u.com
      Автор Сергей47
      Кто-нибудь сталкивался с этим?
    • bigV
      Нужна помощь в расшифровке *.id-3E7283FC.[everyday@dr.com].myday
      Автор bigV
      Прошу помочь в расшифровке.
      Есть база данный MySQL на 6 Gb, и файловое хранилище, основная цель дешифровать эти файлы.

      Если расшифровка невозможна, прошу указать в ответе.
      Заранее благодарю.
      ----------------------
      Please help me decrypt files. There is a 6 Gb MySQL database, and file storage, the main purpose is to decrypt these files. If decryption is not possible, please indicate in the answer. Thank you in advance.
      encrypted and orig files.7z
      FILES ENCRYPTED.txt
    • Stedxem91
      Помогите спасти точки восстановления!
      Автор Stedxem91
      Здравствуйте! У меня несколько не стандартная ситуация! В организации 4 компьютера заражены вирусом шифровальщиком с почтой james2020m@aol.com, странно что не в хронологическом порядке и не с общими папками! Три из них заражены полностью, то есть камня на камне не осталось от информации, затерто буквально все что можно, но есть один, по которому он прошелся всего ничего - зашифровал три базы 1с из 20 примерно, все документы в порядке, это я смотрю через live cd. Но я также вижу, что у него живые точки восстановления! В папке system volume information, там файлы по 5 гигабайт не зашифрованы! Я так понимаю, что если я заведу компьютер в обычном режиме - то вирус продолжит свою работу! Если же не заведу - то не смогу воспользоваться точкам восстановления! Подскажите, как его остановить, чтобы можно было запустить систему и предыдущие версии баз восстановить!
      DESKPR.0.rar Подпись модуль.2.jpg.id-043779A6.[James2020m@aol.com].rar
    • test17
      PROJECTBLACK@CRIPTEXT.COM - кидалово
      Автор test17
      PROJECTBLACK@CRIPTEXT.COM
       
      Не платите выкуп данному мошеннику!
      Это кидалово.
      Деньги перечислены - декриптора нет уже неделю!
      Потеряны деньги, потеряно время.
       
      Do not pay a ransom to this fraudster!
      This is a scam.
      The money has been transferred - the descriptor has been missing for a week!
    • mixa200z
      Шифровальщик [projectblack@criptext.com].PB
      Автор mixa200z
      28.06.2021 залетел вирус  
      Каталоги 2018.zip FILES ENCRYPTED.txt
×
×
  • Создать...