Перейти к содержанию

[РАСШИФРОВАНО] coronovirus@protonmail.com шифровальщик


Рекомендуемые сообщения

Всем привет, зашифровалось на сервере две сетевые папки. Вероятно после взаимодействия через тимвивер с пк где они были закреплены.

В каждой папке появился файл how_to_unlock.hta

Логи и примеры зашифрованных файлов прикладываю (уперся в ограничение по размеру, если надо - еще приложу, т.к. в основном большие)

 

Прошу помощи.

И вопрос, по какому принципу действует эта гадость? Если только часть файлов зашифровалась, то остальные позже могу пострадать или как? Расскажите пожалйуста.

Сообщение о выкупе.png

CollectionLog-2020.04.30-17.56.zip Зашифрованные файлы разных типов.rar how_to_decrypt.hta

Ссылка на комментарий
Поделиться на другие сайты

1. В архиве не хватает нужных логов, переделывайте.

2. Примеры шифрованных файлов нужно оставить в том формате, которые оказались после работы шифратора.

 

27 минут назад, ofstd сказал:

уперся в ограничение по размеру, если надо - еще приложу, т.к. в основном большие

Примеры выложите на Яндекс диск, например, и тоже пришлите ссылку на их скачивание.

Ссылка на комментарий
Поделиться на другие сайты

В процессе выяснилось что файлы зашифровались не все подряд, хоть и в каждой папке появился файл "how_to_unlock"

Потому ошибочно были прикреплены выше те файлы.

Но - у некоторых файлов расширения в проводнике не сменились, но они не открываются. При открытии картинки jpg пишет что неподдерживаемый формат. zip и rar архивы не открываются с ошибкой "поврежден или неизвестный формат". Большая часть нужной инфы как раз в архивах.

 

Так же на рабочем столе в гостевой учетке найдено несколько файлов, вероятно закинуты их сети оказались. Их тоже прикладываю.

 

Несколько файлов с точно измененными расширениями - https://cloud.mail.ru/public/4r8U/4to5jV5Jw

Второй битый архиив для примера (в основном они большие) - https://cloud.mail.ru/public/4Sxj/3DheeBrxM

 

как выглядят расширения.PNG

найдено на рабочем столе в гостевой учетке.zip CollectionLog-2020.05.01-04.40 вторая попытка.zip Bankoboev битый архив с неизмененным расширением.rar.rar

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, ofstd сказал:

Но - у некоторых файлов расширения в проводнике не сменились, но они не открываются

Весьма сомнительно. Все файлы зашифрованы из-под учетки одного пользователя.

 

12 часов назад, ofstd сказал:

И вопрос, по какому принципу действует эта гадость? Если только часть файлов зашифровалась, то остальные позже могу пострадать или как?

В теле вируса есть огромный список расширений файлов, подлежащих шифрованию.

 

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Гость\AppData\Local\Temp\svcbdd.exe','');
 TerminateProcessByName('c:\users\Гость\appdata\local\temp\svcbdd.exe');
 QuarantineFile('c:\users\Гость\appdata\local\temp\svcbdd.exe','');
 DeleteFile('c:\users\Гость\appdata\local\temp\svcbdd.exe','32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3220339397-1789294090-3717201778-501\Software\Microsoft\Windows\CurrentVersion\Run','689BB3A9-E2D42BAB','x32');
 DeleteFile('C:\Users\8CED~1\AppData\Local\Temp\how_to_decrypt.hta','32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3220339397-1789294090-3717201778-501\Software\Microsoft\Windows\CurrentVersion\Run','689BB3A9-E2D42BABhta','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3220339397-1789294090-3717201778-501\Software\Microsoft\Windows\CurrentVersion\Run','689BB3A9-E2D42BAB','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3220339397-1789294090-3717201778-501\Software\Microsoft\Windows\CurrentVersion\Run','689BB3A9-E2D42BABhta','x64');
 DeleteFile('C:\Users\8CED~1\AppData\Local\Temp\how_to_decrypt.hta','64');
 DeleteFile('C:\Users\Гость\AppData\Local\Temp\svcbdd.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678


Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Гость\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Гость\Downloads\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Гость\Documents\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Гость\AppData\Roaming\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Гость\AppData\LocalLow\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Гость\AppData\Local\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Гость\AppData\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Все пользователи\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Все пользователи\Documents\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Public\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\ProgramData\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\ProgramData\Documents\how_to_decrypt.hta
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [160]
AlternateDataStreams: C:\Users\Public\.DS_Store[coronovirus@protonmail.com].[689BB3A9-E2D42BAB]:AFP_AfpInfo [122]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B [160]
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на комментарий
Поделиться на другие сайты

Расшифрованные файлы https://www.sendspace.com/file/qgzyi2

 

Хочу еще раз заметить, что вызывает сомнение отсутствие изменений в имени файла после шифрования при наличии данных, необходимых для расшифровки, внутри самого файла. Тут скорее была ручная правка пострадавшим файлов в надежде, что они откроются нормально.

Ссылка на комментарий
Поделиться на другие сайты

16 минут назад, thyrex сказал:

Хочу еще раз заметить, что вызывает сомнение отсутствие изменений в имени файла после шифрования при наличии данных, необходимых для расшифровки, внутри самого файла. Тут скорее была ручная правка пострадавшим файлов в надежде, что они откроются нормально.

 

Вы очень порадовали расшифрованными файлами, не ожидал что так быстро будет хоть какой-то результат!

 

Дело в том, что там несколько терабайт информации и большое количество папок. Не думаю что был кому-то прок переименовывать значительную часть файлов без толку. 

png картинки открываются, а большая часть jpg побились, но видимое расширение родное.

7z архивы изменили расширение, а rar нет.

В основном нужна информация как раз в rar и лежит. Как быть с расшифровкой остального? Помощь с этим могла бы спасти время.

 

И еще вопрос, как быть в данный момент с этими папками? Возможна ли дальнейшая работа зловреда на этом пк теперь?

 

Ссылка на комментарий
Поделиться на другие сайты

2 часа назад, ofstd сказал:

И еще вопрос, как быть в данный момент с этими папками? Возможна ли дальнейшая работа зловреда на этом пк теперь?

Активного вируса в логах нет.  Мы его удалили в сообщении №4.

 

2 часа назад, ofstd сказал:

Не думаю что был кому-то прок переименовывать значительную часть файлов без толку. 

До приведения информации в правильный после работы шифровальщика вид дешифратор для файлов в текущем состоянии будет бесполезен. Он их просто не увидит.

Ссылка на комментарий
Поделиться на другие сайты

Предположительно хорошо бы восстановить около сотни файлов, может несколько десятков. Из которых приемущественно как раз rar. А вручную же можно расширение поправить?

У вас получилось восстановить подобное.

Ссылка на комментарий
Поделиться на другие сайты

Там не расширение править нужно, а остальную часть - сделав имя в правильном виде. Что я и делал вручную перед расшифровкой.

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • ratava
      Автор ratava
      Поймал шифровальщика, судя по подобным темам файлы расшифровать не получится, хотелось бы удалить его из системы и обойтись без переустановки, если такое возможно
      FRST.txt Addition.txt Shortcut.txt Desktop.zip
    • alexlaev
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • Rena73
      Автор Rena73
      Пытаюсь расшифровать файлы. не получается. ZXyL8wFFae.rar
    • kocks33
      Автор kocks33
      Добрый день!
      На сервер проник шифровальщик. Зашифровал весь диск D, снял лицензию с сервера
      Можно ли как то расшифровать файлы. Помогите пожалуйста.


    • Беляш
      Автор Беляш
      Добрый день.
      не восстановил   белый лист для RDP  на роутере.
      Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.
      Пострадало  две машины и  файловое хранилище
      Помогите пожалуйста с восстановлением.  
      файлы работы   frst  и  шифровальщика  во вложении.
       
      С уважением, Урянский Виктор
       
      primery.zip frst.zip
×
×
  • Создать...