Перейти к содержанию

"Поймали" harma ...

vas
 Share

Рекомендуемые сообщения

vas Новичок

vas

Опубликовано
Опубликовано

Здравствуйте!

Поймали шифровальщика, как - непонятно, система залогиниться не даёт.

системный раздел и часть данных восстановили из "ночной" копии (таким образом есть исходные и шифрованные экземпляры файлов)

в восстановленную систему подключил зашифрованные диски

к именам зашифрованных файлов добавилось ".id-74BE11F1.[crypt0r1@protonmail.com]"
 

Но, как оказалось, не всё нужное попало в резервную копию...

 

Автоматический сборщик логов запускал на восстановленной системе

также прикладываю "образцы" зашифрованных и исходных файлов

 

с робкой надеждой на успех...

 

Спасибо!

CollectionLog-2020.07.17-04.23.zip _образцы.7z

Ссылка на комментарий
Поделиться на другие сайты
  • 2 weeks later...
vas Новичок

vas

Опубликовано
  • Автор
Опубликовано

Добрый вечер.

 

История имеет продолжение.

 

после частичного восстановления данных (не здесь, увы и ах, но и не у вымогателя) восстановленная машина была снова зашифрована ?

(ну что сделаешь, такие вот мы (((

на этот раз удалось попасть в саму систему без восстановления, руками были найдены несколько экземпляров зловреда (думаю, что зловред, проверять не стал )),
но имя 9878BM_payload.exe и info.hta), и найденные экземпляры были перемещены в отдельную папку и с них сделан шифрованный архив, если нужно, предоставлю.

 

Потом запустил автоматический сборщик логов, файлы прикладываю.

 

компьютер был восстановлен из архива, но два дня работы 1С-ников (как оказалось, очень напряжённых и плодотворных) таки пропали.

так что восстановление бы не очень не помешало...

если нужны шифрованные/нешифрованные  образцы файлов - предоставлю.

 

Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Паролm от RDP давно пора сменить, а сам RDP скрыть за VPN.

 

1. Выделите следующий код: 

Start::
CreateRestorePoint:
HKLM\...\Run: [9878BM_payload.exe] => C:\Windows\System32\9878BM_payload.exe
HKLM\...\Run: [C:\Windows\System32\Info.hta] => mshta.exe "C:\Windows\System32\Info.hta"
HKLM\...\Run: [d:\Users\Bgt4\AppData\Roaming\Info.hta] => mshta.exe "d:\Users\Bgt4\AppData\Roaming\Info.hta"
HKU\S-1-5-21-4016076152-4029761368-1868360458-1000\...\Run: [9878BM_payload.exe] => C:\Users\vas\AppData\Roaming\9878BM_payload.exe
HKU\S-1-5-21-4016076152-4029761368-1868360458-1000\...\Run: [C:\Users\vas\AppData\Roaming\Info.hta] => mshta.exe "C:\Users\vas\AppData\Roaming\Info.hta"
HKU\S-1-5-21-4016076152-4029761368-1868360458-1000\...\MountPoints2: {dd6e2b3e-9327-11e8-96d3-806e6f6e6963} - I:\SETUP.EXE
IFEO\sethc.exe: [Debugger] C:\Windows\Logs\Backdoor.exe
IFEO\utilman.exe: [Debugger] C:\Windows\Logs\Backdoor.exe
Lsa: [Notification Packages] scecli rassfm
GroupPolicy: Restriction ? <==== ATTENTION
Task: {C340B803-9DF7-458A-98E0-C85813DCB425} - \KMSAuto -> No File <==== ATTENTION
Task: {DBBCD7CF-DC59-45B6-9F53-990B95D624A5} - \KMSAutoNet -> No File <==== ATTENTION
2020-07-26 11:54 - 2020-07-26 13:47 - 000000222 _____ C:\FILES ENCRYPTED.txt
2020-07-26 11:54 - 2020-07-26 11:54 - 000000222 _____ d:\Users\Bgt4\Desktop\FILES ENCRYPTED.txt
ShellIconOverlayIdentifiers: [    YandexDisk1 SyncDone] -> {C5F6CDD1-FB7B-4971-A53F-4B00757F756B} =>  -> No File
ShellIconOverlayIdentifiers: [    YandexDisk2 SyncProgress] -> {75EF3512-D401-4172-BA0F-00E000DCBCE4} =>  -> No File
ShellIconOverlayIdentifiers: [    YandexDisk3 SyncDisabled] -> {8EEE3CD5-1F70-4B63-B19D-A5F1457761DB} =>  -> No File
ShellIconOverlayIdentifiers: [    YandexDisk4 SyncError] -> {9CE04609-A360-4266-9937-9D799E8D2D5A} =>  -> No File
ShellIconOverlayIdentifiers: [    YandexDisk5 SyncPart] -> {63ADB0D1-6DA0-46A2-89D0-E0CE44536E32} =>  -> No File
C:\Windows\Logs\Backdoor.exe
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Gagik
      Поймал вирус
      От Gagik
      Поймал вирус не знаю из за чего и ни чем не определяется почти,вроде как dwm процесс называется,при открытии диспетчера задач,не отображается и нагрузка сразу спадает,в простое нагревает процессор до 90 градусов
    • LeoNid2024
      Поймали шифровщика
      От LeoNid2024
      Был взломан сервер по rdp, все файлы зашифрованы, NAS к сожалению не работал.
      Система просканирована kvrt.exe. Найдено вредоносное ПО. 
       
       
       
      KVRT2020_Data.zip
      Зашифрованные файлы.zip
    • AndOrNot
      Поймал шифровальщик ooo4ps и Bitlocker
      От AndOrNot
      Сегодня с утра обнаружилось, что файлы документов на системном диске сервера 1С зашифрованы шифровальщиком. В папках содержится файл FILES_ENCRYPTED.txt, файлы имеют расширение .ooo4ps, локальный диск E:, на котором содержались базы 1С, заблокирован Bitlocker. USB диск, подключенный к серверу и содержавший Windows Backup, пустой. Судя по времени создания файлов, вредонос работал утром в субботу. Прошу помощи.
       
      ooo4ps.zip
    • Helixx
      [РЕШЕНО] Поймал MEM:Trojan.Win32.SEPEH.gen
      От Helixx
      Здравствуйте, недавно думал что поймал майнер, начал копаться. В итоге откопал вот такой троян MEM:Trojan.Win32.SEPEH.gen который Касперским не удаляется. Он пытается, вроде показывает что удаляет, но это если без перезагрузки, с перезагрузкой же, вирус при сканировании отображается каждый раз заново, попыток так его удалить было порядка 6, в итоге пришёл сюда ибо то что я увидел в интернете по этому поводу, довольно... Страшно)
    • ipostnov
      [РЕШЕНО] Поймал Trojan.Win32.SEPEH.gen
      От ipostnov
      Добрый день. Поймал Trojan.Win32.SEPEH.gen и никак не могу удалить.

       
      CollectionLog-2024.11.11-14.29.zip
×
×
  • Создать...