Перейти к содержанию
Сезон прогнозов — 2020!
r2d3

Шифровальщик [openpgp@foxmail.com] ОС не загружается.

Автор r2d3, в Помощь в борьбе с шифровальщиками-вымогателями

Рекомендуемые сообщения

r2d3    0

r2d3
Опубликовано (изменено)

Добрый день!
На сервер 1С был пойман шифровальщик, скорее всего через RDP.
Нет возможности запустить Farbar Recovery Scan Tool из среды восстановления Windows, AutoLogger либо KVRT.


all your data has been locked us
You want to return?
Write email openpgp@foxmail.com

1.jpg

Изменено пользователем r2d3

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Sandor    817

Sandor
Опубликовано

Здравствуйте!

 

Пару зашифрованных документов вместе с запиской о выкупе упакованных в архив здесь прикрепить можете?

 

1 час назад, r2d3 сказал:

Нет возможности запустить Farbar Recovery Scan Tool из среды восстановления Windows

Такая возможность есть, читайте внимательно правила (по ссылке).

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

r2d3    0

r2d3
Опубликовано
1 час назад, Sandor сказал:

Здравствуйте!

 

Пару зашифрованных документов вместе с запиской о выкупе упакованных в архив здесь прикрепить можете?

Да, конечно

12.rar

 

1 час назад, Sandor сказал:

Такая возможность есть, читайте внимательно правила (по ссылке).

Подскажите, об этой возможности идет речь ?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Sandor    817

Sandor
Опубликовано

Увы, это Crysis или Dharma (.cezar Family). Расшифровки нет.

 

1 час назад, r2d3 сказал:

об этой возможности идет речь ?

Верно.

Но если вы настроены переустанавливать систему, то логи не нужны.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

r2d3    0

r2d3
Опубликовано
22 часа назад, Sandor сказал:

Увы, это Crysis или Dharma (.cezar Family). Расшифровки нет.

 

Верно.

Но если вы настроены переустанавливать систему, то логи не нужны.

Логи снять удалось. Подскажите, возможно ли с помощью логов выявить источник заражения и дату?

FRST.txt

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Sandor    817

Sandor
Опубликовано

Дата и время появления - 2020-06-26 02:47 предположительно через учётную запись buh1.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

r2d3    0

r2d3
Опубликовано
15 минут назад, Sandor сказал:

Дата и время появления - 2020-06-26 02:47 предположительно через учётную запись buh1.

Спасибо. Сориентируйте пожалуйста как зачистить систему?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

thyrex    1 168

thyrex
Опубликовано
22 минуты назад, Sandor сказал:

предположительно через учётную запись buh1

Похоже тут вообще хорошо порезвились с 26.06 по 01.07, заходя еще и под buh4, и под buh5, и под glbuh.

  • Согласен 1

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Sandor    817

Sandor
Опубликовано

  • Выделите следующий код:
    Start::
HKLM\...\Run: [1pgp.exe] => C:\Windows\System32\1pgp.exe [94720 2020-06-26] ()
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13922 2020-06-26] ()
HKLM\...\Run: [C:\Users\buh5\AppData\Roaming\Info.hta] => C:\Users\buh5\AppData\Roaming\Info.hta [13922 2020-06-26] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe [2020-07-01] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-26] ()
Startup: C:\Users\buh5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe [2020-06-26] ()
Startup: C:\Users\buh5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-26] ()
Startup: C:\Users\glbuh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe [2020-06-29] ()
Task: {4D6E2E61-5283-4C25-BC11-6B176DBE44E5} - System32\Tasks\Realtek Sound Blaster => C:\Users\TEMP\AppData\Roaming\Realtek Sound Blaster\RealtekSb.exe <==== ATTENTION
2020-06-29 05:40 - 2020-06-29 05:40 - 000094720 _____ C:\Users\glbuh\AppData\Roaming\1pgp.exe
2020-06-28 07:36 - 2020-06-22 05:33 - 016520930 _____ (Adpdanwqao Vggkylledcblwm Whvjwafa) C:\Windows\VVV.exe
2020-06-28 07:34 - 2020-06-22 05:33 - 016520930 _____ (Adpdanwqao Vggkylledcblwm Whvjwafa) C:\Windows\System32\VVV.exe
2020-06-26 03:42 - 2020-06-26 03:42 - 000013922 _____ C:\Windows\System32\Info.hta
2020-06-26 03:42 - 2020-06-26 03:42 - 000013922 _____ C:\Users\buh5\AppData\Roaming\Info.hta
2020-06-26 03:42 - 2020-06-26 03:42 - 000000172 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-06-26 03:42 - 2020-06-26 03:42 - 000000172 _____ C:\FILES ENCRYPTED.txt
2020-06-26 02:47 - 2020-06-26 02:47 - 000094720 _____ C:\Windows\System32\1pgp.exe
End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать) и вставьте в Блокнот. Сохраните под именем fixlist.txt в кодировке unicode. Поместите его рядом с файлом FRST64.exe
  • Запустите FRST64 от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Перезагрузите систему и пробуйте войти в нормальном режиме (или в безопасном).

Подробнее читайте в этом руководстве.
 

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

r2d3    0

r2d3
Опубликовано
26 минут назад, Sandor сказал:

 

  • Выделите следующий код: 
    
Start::
HKLM\...\Run: [1pgp.exe] => C:\Windows\System32\1pgp.exe [94720 2020-06-26] ()
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13922 2020-06-26] ()
HKLM\...\Run: [C:\Users\buh5\AppData\Roaming\Info.hta] => C:\Users\buh5\AppData\Roaming\Info.hta [13922 2020-06-26] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe [2020-07-01] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-26] ()
Startup: C:\Users\buh5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe [2020-06-26] ()
Startup: C:\Users\buh5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-26] ()
Startup: C:\Users\glbuh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe [2020-06-29] ()
Task: {4D6E2E61-5283-4C25-BC11-6B176DBE44E5} - System32\Tasks\Realtek Sound Blaster => C:\Users\TEMP\AppData\Roaming\Realtek Sound Blaster\RealtekSb.exe <==== ATTENTION
2020-06-29 05:40 - 2020-06-29 05:40 - 000094720 _____ C:\Users\glbuh\AppData\Roaming\1pgp.exe
2020-06-28 07:36 - 2020-06-22 05:33 - 016520930 _____ (Adpdanwqao Vggkylledcblwm Whvjwafa) C:\Windows\VVV.exe
2020-06-28 07:34 - 2020-06-22 05:33 - 016520930 _____ (Adpdanwqao Vggkylledcblwm Whvjwafa) C:\Windows\System32\VVV.exe
2020-06-26 03:42 - 2020-06-26 03:42 - 000013922 _____ C:\Windows\System32\Info.hta
2020-06-26 03:42 - 2020-06-26 03:42 - 000013922 _____ C:\Users\buh5\AppData\Roaming\Info.hta
2020-06-26 03:42 - 2020-06-26 03:42 - 000000172 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-06-26 03:42 - 2020-06-26 03:42 - 000000172 _____ C:\FILES ENCRYPTED.txt
2020-06-26 02:47 - 2020-06-26 02:47 - 000094720 _____ C:\Windows\System32\1pgp.exe
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать) и вставьте в Блокнот. Сохраните под именем fixlist.txt в кодировке unicode. Поместите его рядом с файлом FRST64.exe
  • Запустите FRST64 от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Перезагрузите систему и пробуйте войти в нормальном режиме (или в безопасном).

Подробнее читайте в этом руководстве.
 

Готово.

Fixlog.txt

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Sandor    817

Sandor
Опубликовано

Не цитируйте полностью предыдущее сообщение. Используйте форму быстрого ответа внизу.

 

30 минут назад, Sandor сказал:

пробуйте войти в нормальном режиме (или в безопасном)

Получилось?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

r2d3    0

r2d3
Опубликовано
1 минуту назад, Sandor сказал:

Получилось?

Да, в таком виде, что дальше?

133.jpg

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Sandor    817

Sandor
Опубликовано

Нижнее сообщение - придется вручную пересоздать ярлыки запуска программ и утилит. Верхнее - попробуйте перегрузить.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

r2d3    0

r2d3
Опубликовано
08.07.2020 в 20:22, Sandor сказал:

вручную пересоздать ярлыки

Пробовал, все программы зашифрованы. Размер файлов сильно разнится, объем жесткого диска показывает не корректно. Какие будут дальнейшие шаги?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Sandor    817

Sandor
Опубликовано

Это уже проблемы с системными файлами. Если вы не планируете переустановку системы, а хотите восстановить существующую, обратитесь в соседний раздел.

Ссылку на эту тему там укажите.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
Перейти к списку тем

  • Похожий контент

    • nork13072007
      enigmacrypt@foxmail.com зашифрованы файлы
      От nork13072007
      Есть ли дешифратор по этому типу?
    • jew
      [helpmedecoding@airmail.cc].HARMA
      От jew
      Помогите пожалуйста файлы шивровались .
      Помогите с дишифровшиком.
      Весь компьютер заражен .
      Все файлы 🙏.
       
      harma.rar
    • Дима Д
      вымогатели id-84417E33.[openpgp@foxmail.com]
      От Дима Д
      Добрый день.
      в реальном времени закрылась 1С попытка повторного запуска  выдала ошибку. тут же выключил сервер но пострадали базы и архивы 1С, теперь все файлы умеют окончание id-84417E33.[openpgp@foxmail.com]
      FRST Addition.rar
      CollectionLog-2020.07.22-11.45.zip
    • vas
      "Поймали" harma ...
      От vas
      Здравствуйте!
      Поймали шифровальщика, как - непонятно, система залогиниться не даёт.
      системный раздел и часть данных восстановили из "ночной" копии (таким образом есть исходные и шифрованные экземпляры файлов)
      в восстановленную систему подключил зашифрованные диски
      к именам зашифрованных файлов добавилось ".id-74BE11F1.[crypt0r1@protonmail.com]"
       
      Но, как оказалось, не всё нужное попало в резервную копию...
       
      Автоматический сборщик логов запускал на восстановленной системе
      также прикладываю "образцы" зашифрованных и исходных файлов
       
      с робкой надеждой на успех...
       
      Спасибо!
      CollectionLog-2020.07.17-04.23.zip _образцы.7z
×
×
  • Создать...