Перейти к содержанию

manyfiles@aol.com.harma

vchikarin
 Поделиться

Рекомендуемые сообщения

vchikarin

vchikarin

Опубликовано
Опубликовано (изменено)

Добрый день

 

Очень нужна помощь в дешифровке файлов

Мои знакомые словили шифровальщика на сервере со всеми базами 1С 

все файлы имеют окончание id-48805447.[manyfiles@aol.com].harma

Им бы хотя бы бэкапы расшифровать (дада, бэкапы лежат на том же серврере)

 

Будут весьма благодарны

FRST.txt

Addition.txt

Shortcut.txt

Изменено пользователем vchikarin
thyrex

thyrex

Опубликовано
Опубликовано

Расшифровки нет. Будет только зачистка мусора.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\...\Run: [] => [X]
HKLM\...\Run: [1W72451_payload.exe] => C:\WINDOWS\System32\1W72451_payload.exe [94720 2020-04-02] ()
HKLM\...\Run: [C:\WINDOWS\System32\Info.hta] => C:\WINDOWS\System32\Info.hta [13923 2020-04-02] ()
HKLM\...\Run: [C:\Documents and Settings\Администратор\Application Data\Info.hta] => C:\Documents and Settings\Администратор\Application Data\Info.hta [13923 2020-04-02] ()
2020-04-02 15:14 - 2020-04-02 15:14 - 000013923 _____ C:\Documents and Settings\Администратор\Application Data\Info.hta
C:\WINDOWS\System32\Info.hta
C:\WINDOWS\System32\1W72451_payload.exe
2020-04-02 15:14 - 2020-04-02 15:14 - 000000224 _____ C:\FILES ENCRYPTED.txt
2020-04-02 15:14 - 2020-04-02 15:14 - 000000224 _____ C:\Documents and Settings\Администратор\Рабочий стол\FILES ENCRYPTED.txt
2020-04-02 15:14 - 2020-04-02 15:14 - 000000224 _____ C:\Documents and Settings\All Users\Рабочий стол\FILES ENCRYPTED.txt
2020-04-02 14:37 - 2020-04-02 14:37 - 000094720 _____ C:\WINDOWS\system32\1W72451_payload.exe
2020-04-02 14:37 - 2019-09-12 21:42 - 000094720 ____R C:\Documents and Settings\Администратор\Рабочий стол\1W72451_payload.exe
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.
vchikarin

vchikarin

Опубликовано
  • Автор
Опубликовано (изменено)

Вирус еще активен.

Доступ есть пока только через RDP.

При нажатии на FIX он перезагрузился. И лог зашифровался.

Сейчас попробую KVRT прогнать, но там ооочень медленный интернет долго будет закачиваться

Fixlog.txt

Изменено пользователем vchikarin
vchikarin

vchikarin

Опубликовано
  • Автор
Опубликовано

Пробую, автосборщик работает только через консоль, а у меня RDP, сейчас попробую задействовать AMMYY


Собрал логи


Если необходимо, могу приложить сам файл вируса

CollectionLog-2020.04.03-10.30.zip

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Documents and Settings\chikarin\Application Data\1W72451_payload.exe','');
 QuarantineFile('C:\Documents and Settings\chikarin\Главное меню\Программы\Автозагрузка\1W72451_payload.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\1W72451_payload.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\1W72451_payload.exe','');
 TerminateProcessByName('c:\windows\system32\1w72451_payload.exe');
 QuarantineFile('c:\windows\system32\1w72451_payload.exe','');
 DeleteFile('c:\windows\system32\1w72451_payload.exe','32');
 DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\1W72451_payload.exe','32');
 DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\Info.hta','32');
 DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\1W72451_payload.exe','32');
 DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\Info.hta','32');
 DeleteFile('C:\Documents and Settings\chikarin\Главное меню\Программы\Автозагрузка\1W72451_payload.exe','32');
 DeleteFile('C:\Documents and Settings\chikarin\Главное меню\Программы\Автозагрузка\Info.hta','32');
 DeleteFile('C:\Documents and Settings\chikarin\Application Data\1W72451_payload.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1W72451_payload.exe','x32');
 DeleteFile('C:\WINDOWS\System32\Info.hta','32');
 DeleteFile('C:\Documents and Settings\chikarin\Application Data\Info.hta','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке ссылке https://virusinfo.info/upload_virus.php?tid=37678.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\...\Run: [C:\WINDOWS\System32\Info.hta] => mshta.exe "C:\WINDOWS\System32\Info.hta"
HKLM\...\Run: [C:\Documents and Settings\chikarin\Application Data\Info.hta] => mshta.exe "C:\Documents and Settings\chikarin\Application Data\Info.hta"
HKLM\...\Run: [C:\Documents and Settings\Пользователь1.SERVER\Application Data\Info.hta] => C:\Documents and Settings\Пользователь1.SERVER\Application Data\Info.hta [13923 2020-04-03] () [File not signed]
S3 WinHttpAutoProxySvc; winhttp.dll [X]
S2 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X]
2020-04-03 11:49 - 2020-04-03 11:49 - 000013923 _____ C:\Documents and Settings\Пользователь1.SERVER\Application Data\Info.hta
2020-04-03 09:51 - 2020-04-03 11:49 - 000000224 _____ C:\FILES ENCRYPTED.txt
2020-04-03 09:51 - 2020-04-03 11:49 - 000000224 _____ C:\Documents and Settings\All Users\Рабочий стол\FILES ENCRYPTED.txt
2020-04-03 09:51 - 2020-04-03 10:31 - 000000224 _____ C:\Documents and Settings\chikarin\Рабочий стол\FILES ENCRYPTED.txt
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.
vchikarin

vchikarin

Опубликовано
  • Автор
Опубликовано

ОК, спасибо.

 

Видать придется им заплатить вымогателям

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • MSBishop
      Новое Расширение: Dharma шифровальщика: .onion
      Автор MSBishop
      Поймали шифровальщик. 
      Со страху пользователь грохнул систему и переустановил ОС поэтому ни логов и прочей информации собрать не удалось, остались только зашифрованные фалы
      Имена фалов изменились по шаблону: config.sys.id -66813FE4.[felix_dies@aol.com].onion
      Идентификация в ID Ransomware: Dharma (.onion)
       
      Для прочих dharma шифровальщиков есть дешифраторы.
      Есть ли шанс что для этого расширения будет дешифратор?
    • Александр Панев
      Вирус шифровальщик 3048664056@qq.com
      Автор Александр Панев
      Знакомые поймали вирус-шифровальщик. Просит написать на адрес 3048664056@qq.com
      Файлы зашифрованы с расширением .wallet
       
      1. Сперва PC полечил в ручную, удалил из автозагрузки и компьютера файл с вирусом.
      2. Проверил утилитой от касперского, вирусов больше не нашлось.
      3. При проверки файла с вирусом находит вирус: Trojan-Ransom.Win32.Crusis.xg
       
      В приложении:
      1. файл с вирусом (пароль 123)
      2. Зашифрованный файл
      3. Логи
       

      Строгое предупреждение от модератора "Mark D. Pearlstone" Не публикуйте вредоносные ссылки и файлы на форуме. csrs.exe.id-FC475758.3048664056@qq.com.zip
      CollectionLog-2017.04.26-16.26.zip
      Data recovery FILLs .txt
    • Виталий88
      Trojan-Ransom.Win32.Rakhni decryption tool
      Автор Виталий88
      добрый день, сегодня пришел на работу и не смог открыть не один документ. Все файлы имеют расширение id-.[shadowblacksea@qq.com].wallet. В диспетчере задач висит и даже не скрывается Trojan-Ransom.Win32.Rakhni decryption tool. Можно ли как то восстановить зашифрованные файлы и убить эту заразу? Dr.web как и касперский угроз не нашли
        CollectionLog-2017.04.25-13.53.zip
    • alexander.zas
      Расшифровка Trojan-Ransom.Win32.Crusis
      Автор alexander.zas
      Добрый день.
      Помогите расшифровать Trojan-Ransom.Win32.Crusis, файлы с именем [OriginalName]id-0A7E562E.[3048664056@qq.com].wallet 
    • merlin_hal
      id-70FAE858.[3048664056@qq.com] WALLET
      Автор merlin_hal
      Практически все файлы были зашифрованы и теперь имеют вид: *.docx.id-70FAE858.[3048664056@qq.com] Затронут как пакет MSOffice, так и *.jpg, *.pdf и т.п. Так же на локальном диске был создан файл с содержанием: 
      Your documents, photos, databases, save games and other important data has been encrypted. Data recovery requires decoder. To obtain decoder, please contact me by email: 3048664056@qq.com or patrik.swize@gmx.de or through the service https://bitmsg.me, and send me a message to the address: BM-2cWpwwPT9bqLv7D1VMSFUNJZgQ1mKBRgxK Компьютер в домене и был затронут частично сетевой диск CollectionLog-2017.04.12-14.06.zip
×
×
  • Создать...