Перейти к содержанию

[РАСШИФРОВАНО] coronovirus@protonmail.com шифровальщик


Рекомендуемые сообщения

Всем привет, зашифровалось на сервере две сетевые папки. Вероятно после взаимодействия через тимвивер с пк где они были закреплены.

В каждой папке появился файл how_to_unlock.hta

Логи и примеры зашифрованных файлов прикладываю (уперся в ограничение по размеру, если надо - еще приложу, т.к. в основном большие)

 

Прошу помощи.

И вопрос, по какому принципу действует эта гадость? Если только часть файлов зашифровалась, то остальные позже могу пострадать или как? Расскажите пожалйуста.

Сообщение о выкупе.png

CollectionLog-2020.04.30-17.56.zip Зашифрованные файлы разных типов.rar how_to_decrypt.hta

Ссылка на сообщение
Поделиться на другие сайты

1. В архиве не хватает нужных логов, переделывайте.

2. Примеры шифрованных файлов нужно оставить в том формате, которые оказались после работы шифратора.

 

27 минут назад, ofstd сказал:

уперся в ограничение по размеру, если надо - еще приложу, т.к. в основном большие

Примеры выложите на Яндекс диск, например, и тоже пришлите ссылку на их скачивание.

Ссылка на сообщение
Поделиться на другие сайты

В процессе выяснилось что файлы зашифровались не все подряд, хоть и в каждой папке появился файл "how_to_unlock"

Потому ошибочно были прикреплены выше те файлы.

Но - у некоторых файлов расширения в проводнике не сменились, но они не открываются. При открытии картинки jpg пишет что неподдерживаемый формат. zip и rar архивы не открываются с ошибкой "поврежден или неизвестный формат". Большая часть нужной инфы как раз в архивах.

 

Так же на рабочем столе в гостевой учетке найдено несколько файлов, вероятно закинуты их сети оказались. Их тоже прикладываю.

 

Несколько файлов с точно измененными расширениями - https://cloud.mail.ru/public/4r8U/4to5jV5Jw

Второй битый архиив для примера (в основном они большие) - https://cloud.mail.ru/public/4Sxj/3DheeBrxM

 

как выглядят расширения.PNG

найдено на рабочем столе в гостевой учетке.zip CollectionLog-2020.05.01-04.40 вторая попытка.zip Bankoboev битый архив с неизмененным расширением.rar.rar

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, ofstd сказал:

Но - у некоторых файлов расширения в проводнике не сменились, но они не открываются

Весьма сомнительно. Все файлы зашифрованы из-под учетки одного пользователя.

 

12 часов назад, ofstd сказал:

И вопрос, по какому принципу действует эта гадость? Если только часть файлов зашифровалась, то остальные позже могу пострадать или как?

В теле вируса есть огромный список расширений файлов, подлежащих шифрованию.

 

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Гость\AppData\Local\Temp\svcbdd.exe','');
 TerminateProcessByName('c:\users\Гость\appdata\local\temp\svcbdd.exe');
 QuarantineFile('c:\users\Гость\appdata\local\temp\svcbdd.exe','');
 DeleteFile('c:\users\Гость\appdata\local\temp\svcbdd.exe','32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3220339397-1789294090-3717201778-501\Software\Microsoft\Windows\CurrentVersion\Run','689BB3A9-E2D42BAB','x32');
 DeleteFile('C:\Users\8CED~1\AppData\Local\Temp\how_to_decrypt.hta','32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3220339397-1789294090-3717201778-501\Software\Microsoft\Windows\CurrentVersion\Run','689BB3A9-E2D42BABhta','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3220339397-1789294090-3717201778-501\Software\Microsoft\Windows\CurrentVersion\Run','689BB3A9-E2D42BAB','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3220339397-1789294090-3717201778-501\Software\Microsoft\Windows\CurrentVersion\Run','689BB3A9-E2D42BABhta','x64');
 DeleteFile('C:\Users\8CED~1\AppData\Local\Temp\how_to_decrypt.hta','64');
 DeleteFile('C:\Users\Гость\AppData\Local\Temp\svcbdd.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678


Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Гость\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Гость\Downloads\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Гость\Documents\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Гость\AppData\Roaming\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Гость\AppData\LocalLow\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Гость\AppData\Local\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Гость\AppData\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Все пользователи\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Все пользователи\Documents\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Public\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\ProgramData\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\ProgramData\Documents\how_to_decrypt.hta
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [160]
AlternateDataStreams: C:\Users\Public\.DS_Store[coronovirus@protonmail.com].[689BB3A9-E2D42BAB]:AFP_AfpInfo [122]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B [160]
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на сообщение
Поделиться на другие сайты

Расшифрованные файлы https://www.sendspace.com/file/qgzyi2

 

Хочу еще раз заметить, что вызывает сомнение отсутствие изменений в имени файла после шифрования при наличии данных, необходимых для расшифровки, внутри самого файла. Тут скорее была ручная правка пострадавшим файлов в надежде, что они откроются нормально.

Ссылка на сообщение
Поделиться на другие сайты
16 минут назад, thyrex сказал:

Хочу еще раз заметить, что вызывает сомнение отсутствие изменений в имени файла после шифрования при наличии данных, необходимых для расшифровки, внутри самого файла. Тут скорее была ручная правка пострадавшим файлов в надежде, что они откроются нормально.

 

Вы очень порадовали расшифрованными файлами, не ожидал что так быстро будет хоть какой-то результат!

 

Дело в том, что там несколько терабайт информации и большое количество папок. Не думаю что был кому-то прок переименовывать значительную часть файлов без толку. 

png картинки открываются, а большая часть jpg побились, но видимое расширение родное.

7z архивы изменили расширение, а rar нет.

В основном нужна информация как раз в rar и лежит. Как быть с расшифровкой остального? Помощь с этим могла бы спасти время.

 

И еще вопрос, как быть в данный момент с этими папками? Возможна ли дальнейшая работа зловреда на этом пк теперь?

 

Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, ofstd сказал:

И еще вопрос, как быть в данный момент с этими папками? Возможна ли дальнейшая работа зловреда на этом пк теперь?

Активного вируса в логах нет.  Мы его удалили в сообщении №4.

 

2 часа назад, ofstd сказал:

Не думаю что был кому-то прок переименовывать значительную часть файлов без толку. 

До приведения информации в правильный после работы шифровальщика вид дешифратор для файлов в текущем состоянии будет бесполезен. Он их просто не увидит.

Ссылка на сообщение
Поделиться на другие сайты

Предположительно хорошо бы восстановить около сотни файлов, может несколько десятков. Из которых приемущественно как раз rar. А вручную же можно расширение поправить?

У вас получилось восстановить подобное.

Ссылка на сообщение
Поделиться на другие сайты

Там не расширение править нужно, а остальную часть - сделав имя в правильном виде. Что я и делал вручную перед расшифровкой.

Ссылка на сообщение
Поделиться на другие сайты

Скажите пожалуйста, будет ли дешифратор в доступе? Платном аль свободном? Или уже что-то есть в сети?

Ссылка на сообщение
Поделиться на другие сайты
  • thyrex changed the title to [РАСШИФРОВАНО] coronovirus@protonmail.com шифровальщик
Гость
Эта тема закрыта для публикации ответов.
×
×
  • Создать...