ofstd 0 Опубликовано 30 апреля, 2020 Share Опубликовано 30 апреля, 2020 Всем привет, зашифровалось на сервере две сетевые папки. Вероятно после взаимодействия через тимвивер с пк где они были закреплены. В каждой папке появился файл how_to_unlock.hta Логи и примеры зашифрованных файлов прикладываю (уперся в ограничение по размеру, если надо - еще приложу, т.к. в основном большие) Прошу помощи. И вопрос, по какому принципу действует эта гадость? Если только часть файлов зашифровалась, то остальные позже могу пострадать или как? Расскажите пожалйуста. CollectionLog-2020.04.30-17.56.zip Зашифрованные файлы разных типов.rar how_to_decrypt.hta Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 30 апреля, 2020 Share Опубликовано 30 апреля, 2020 1. В архиве не хватает нужных логов, переделывайте. 2. Примеры шифрованных файлов нужно оставить в том формате, которые оказались после работы шифратора. 27 минут назад, ofstd сказал: уперся в ограничение по размеру, если надо - еще приложу, т.к. в основном большие Примеры выложите на Яндекс диск, например, и тоже пришлите ссылку на их скачивание. Ссылка на сообщение Поделиться на другие сайты
ofstd 0 Опубликовано 1 мая, 2020 Автор Share Опубликовано 1 мая, 2020 В процессе выяснилось что файлы зашифровались не все подряд, хоть и в каждой папке появился файл "how_to_unlock" Потому ошибочно были прикреплены выше те файлы. Но - у некоторых файлов расширения в проводнике не сменились, но они не открываются. При открытии картинки jpg пишет что неподдерживаемый формат. zip и rar архивы не открываются с ошибкой "поврежден или неизвестный формат". Большая часть нужной инфы как раз в архивах. Так же на рабочем столе в гостевой учетке найдено несколько файлов, вероятно закинуты их сети оказались. Их тоже прикладываю. Несколько файлов с точно измененными расширениями - https://cloud.mail.ru/public/4r8U/4to5jV5Jw Второй битый архиив для примера (в основном они большие) - https://cloud.mail.ru/public/4Sxj/3DheeBrxM найдено на рабочем столе в гостевой учетке.zip CollectionLog-2020.05.01-04.40 вторая попытка.zip Bankoboev битый архив с неизмененным расширением.rar.rar Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 1 мая, 2020 Share Опубликовано 1 мая, 2020 1 час назад, ofstd сказал: Но - у некоторых файлов расширения в проводнике не сменились, но они не открываются Весьма сомнительно. Все файлы зашифрованы из-под учетки одного пользователя. 12 часов назад, ofstd сказал: И вопрос, по какому принципу действует эта гадость? Если только часть файлов зашифровалась, то остальные позже могу пострадать или как? В теле вируса есть огромный список расширений файлов, подлежащих шифрованию. Выполните скрипт в AVZ из папки Autologger begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Гость\AppData\Local\Temp\svcbdd.exe',''); TerminateProcessByName('c:\users\Гость\appdata\local\temp\svcbdd.exe'); QuarantineFile('c:\users\Гость\appdata\local\temp\svcbdd.exe',''); DeleteFile('c:\users\Гость\appdata\local\temp\svcbdd.exe','32'); RegKeyParamDel('HKEY_USERS','S-1-5-21-3220339397-1789294090-3717201778-501\Software\Microsoft\Windows\CurrentVersion\Run','689BB3A9-E2D42BAB','x32'); DeleteFile('C:\Users\8CED~1\AppData\Local\Temp\how_to_decrypt.hta','32'); RegKeyParamDel('HKEY_USERS','S-1-5-21-3220339397-1789294090-3717201778-501\Software\Microsoft\Windows\CurrentVersion\Run','689BB3A9-E2D42BABhta','x32'); RegKeyParamDel('HKEY_USERS','S-1-5-21-3220339397-1789294090-3717201778-501\Software\Microsoft\Windows\CurrentVersion\Run','689BB3A9-E2D42BAB','x64'); RegKeyParamDel('HKEY_USERS','S-1-5-21-3220339397-1789294090-3717201778-501\Software\Microsoft\Windows\CurrentVersion\Run','689BB3A9-E2D42BABhta','x64'); DeleteFile('C:\Users\8CED~1\AppData\Local\Temp\how_to_decrypt.hta','64'); DeleteFile('C:\Users\Гость\AppData\Local\Temp\svcbdd.exe','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678 Полученный после загрузки ответ сообщите здесь. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. Ссылка на сообщение Поделиться на другие сайты
ofstd 0 Опубликовано 1 мая, 2020 Автор Share Опубликовано 1 мая, 2020 Результат загрузки: Файл сохранён как 200501_154015_quarantine_5eac42dfe935a.zip Размер файла 110285 MD5 6edbbb41ac2ae07c325a2066c0a2ae88 новые логи.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 1 мая, 2020 Share Опубликовано 1 мая, 2020 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
ofstd 0 Опубликовано 1 мая, 2020 Автор Share Опубликовано 1 мая, 2020 Результаты Addition.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 1 мая, 2020 Share Опубликовано 1 мая, 2020 1. Выделите следующий код: Start:: CreateRestorePoint: 2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Гость\how_to_decrypt.hta 2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Гость\Downloads\how_to_decrypt.hta 2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Гость\Documents\how_to_decrypt.hta 2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta 2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Гость\AppData\Roaming\how_to_decrypt.hta 2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Гость\AppData\LocalLow\how_to_decrypt.hta 2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Гость\AppData\Local\how_to_decrypt.hta 2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Гость\AppData\how_to_decrypt.hta 2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Все пользователи\how_to_decrypt.hta 2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Все пользователи\Documents\how_to_decrypt.hta 2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Public\how_to_decrypt.hta 2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Public\Downloads\how_to_decrypt.hta 2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Public\Documents\how_to_decrypt.hta 2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\ProgramData\how_to_decrypt.hta 2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\ProgramData\Documents\how_to_decrypt.hta AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [160] AlternateDataStreams: C:\Users\Public\.DS_Store[coronovirus@protonmail.com].[689BB3A9-E2D42BAB]:AFP_AfpInfo [122] AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B [160] Reboot: End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать). 3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на сообщение Поделиться на другие сайты
ofstd 0 Опубликовано 1 мая, 2020 Автор Share Опубликовано 1 мая, 2020 Результат Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 1 мая, 2020 Share Опубликовано 1 мая, 2020 Расшифрованные файлы https://www.sendspace.com/file/qgzyi2 Хочу еще раз заметить, что вызывает сомнение отсутствие изменений в имени файла после шифрования при наличии данных, необходимых для расшифровки, внутри самого файла. Тут скорее была ручная правка пострадавшим файлов в надежде, что они откроются нормально. Ссылка на сообщение Поделиться на другие сайты
ofstd 0 Опубликовано 1 мая, 2020 Автор Share Опубликовано 1 мая, 2020 16 минут назад, thyrex сказал: Хочу еще раз заметить, что вызывает сомнение отсутствие изменений в имени файла после шифрования при наличии данных, необходимых для расшифровки, внутри самого файла. Тут скорее была ручная правка пострадавшим файлов в надежде, что они откроются нормально. Вы очень порадовали расшифрованными файлами, не ожидал что так быстро будет хоть какой-то результат! Дело в том, что там несколько терабайт информации и большое количество папок. Не думаю что был кому-то прок переименовывать значительную часть файлов без толку. png картинки открываются, а большая часть jpg побились, но видимое расширение родное. 7z архивы изменили расширение, а rar нет. В основном нужна информация как раз в rar и лежит. Как быть с расшифровкой остального? Помощь с этим могла бы спасти время. И еще вопрос, как быть в данный момент с этими папками? Возможна ли дальнейшая работа зловреда на этом пк теперь? Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 1 мая, 2020 Share Опубликовано 1 мая, 2020 2 часа назад, ofstd сказал: И еще вопрос, как быть в данный момент с этими папками? Возможна ли дальнейшая работа зловреда на этом пк теперь? Активного вируса в логах нет. Мы его удалили в сообщении №4. 2 часа назад, ofstd сказал: Не думаю что был кому-то прок переименовывать значительную часть файлов без толку. До приведения информации в правильный после работы шифровальщика вид дешифратор для файлов в текущем состоянии будет бесполезен. Он их просто не увидит. Ссылка на сообщение Поделиться на другие сайты
ofstd 0 Опубликовано 1 мая, 2020 Автор Share Опубликовано 1 мая, 2020 Предположительно хорошо бы восстановить около сотни файлов, может несколько десятков. Из которых приемущественно как раз rar. А вручную же можно расширение поправить? У вас получилось восстановить подобное. Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 1 мая, 2020 Share Опубликовано 1 мая, 2020 Там не расширение править нужно, а остальную часть - сделав имя в правильном виде. Что я и делал вручную перед расшифровкой. Ссылка на сообщение Поделиться на другие сайты
ofstd 0 Опубликовано 1 мая, 2020 Автор Share Опубликовано 1 мая, 2020 Скажите пожалуйста, будет ли дешифратор в доступе? Платном аль свободном? Или уже что-то есть в сети? Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения