Перейти к содержанию

"Поймали" harma ...

vas
 Поделиться

Рекомендуемые сообщения

vas

vas

Опубликовано
Опубликовано

Здравствуйте!

Поймали шифровальщика, как - непонятно, система залогиниться не даёт.

системный раздел и часть данных восстановили из "ночной" копии (таким образом есть исходные и шифрованные экземпляры файлов)

в восстановленную систему подключил зашифрованные диски

к именам зашифрованных файлов добавилось ".id-74BE11F1.[crypt0r1@protonmail.com]"
 

Но, как оказалось, не всё нужное попало в резервную копию...

 

Автоматический сборщик логов запускал на восстановленной системе

также прикладываю "образцы" зашифрованных и исходных файлов

 

с робкой надеждой на успех...

 

Спасибо!

CollectionLog-2020.07.17-04.23.zip _образцы.7z

thyrex

thyrex

Опубликовано
Опубликовано

Увы, расшифровки нет ни в одной антивирусной компании. Логи с чистой системы бесполезны.

  • 2 недели спустя...
vas

vas

Опубликовано
  • Автор
Опубликовано

Добрый вечер.

 

История имеет продолжение.

 

после частичного восстановления данных (не здесь, увы и ах, но и не у вымогателя) восстановленная машина была снова зашифрована ?

(ну что сделаешь, такие вот мы (((

на этот раз удалось попасть в саму систему без восстановления, руками были найдены несколько экземпляров зловреда (думаю, что зловред, проверять не стал )),
но имя 9878BM_payload.exe и info.hta), и найденные экземпляры были перемещены в отдельную папку и с них сделан шифрованный архив, если нужно, предоставлю.

 

Потом запустил автоматический сборщик логов, файлы прикладываю.

 

компьютер был восстановлен из архива, но два дня работы 1С-ников (как оказалось, очень напряжённых и плодотворных) таки пропали.

так что восстановление бы не очень не помешало...

если нужны шифрованные/нешифрованные  образцы файлов - предоставлю.

 

Addition.txt FRST.txt

thyrex

thyrex

Опубликовано
Опубликовано

Паролm от RDP давно пора сменить, а сам RDP скрыть за VPN.

 

1. Выделите следующий код: 

Start::
CreateRestorePoint:
HKLM\...\Run: [9878BM_payload.exe] => C:\Windows\System32\9878BM_payload.exe
HKLM\...\Run: [C:\Windows\System32\Info.hta] => mshta.exe "C:\Windows\System32\Info.hta"
HKLM\...\Run: [d:\Users\Bgt4\AppData\Roaming\Info.hta] => mshta.exe "d:\Users\Bgt4\AppData\Roaming\Info.hta"
HKU\S-1-5-21-4016076152-4029761368-1868360458-1000\...\Run: [9878BM_payload.exe] => C:\Users\vas\AppData\Roaming\9878BM_payload.exe
HKU\S-1-5-21-4016076152-4029761368-1868360458-1000\...\Run: [C:\Users\vas\AppData\Roaming\Info.hta] => mshta.exe "C:\Users\vas\AppData\Roaming\Info.hta"
HKU\S-1-5-21-4016076152-4029761368-1868360458-1000\...\MountPoints2: {dd6e2b3e-9327-11e8-96d3-806e6f6e6963} - I:\SETUP.EXE
IFEO\sethc.exe: [Debugger] C:\Windows\Logs\Backdoor.exe
IFEO\utilman.exe: [Debugger] C:\Windows\Logs\Backdoor.exe
Lsa: [Notification Packages] scecli rassfm
GroupPolicy: Restriction ? <==== ATTENTION
Task: {C340B803-9DF7-458A-98E0-C85813DCB425} - \KMSAuto -> No File <==== ATTENTION
Task: {DBBCD7CF-DC59-45B6-9F53-990B95D624A5} - \KMSAutoNet -> No File <==== ATTENTION
2020-07-26 11:54 - 2020-07-26 13:47 - 000000222 _____ C:\FILES ENCRYPTED.txt
2020-07-26 11:54 - 2020-07-26 11:54 - 000000222 _____ d:\Users\Bgt4\Desktop\FILES ENCRYPTED.txt
ShellIconOverlayIdentifiers: [    YandexDisk1 SyncDone] -> {C5F6CDD1-FB7B-4971-A53F-4B00757F756B} =>  -> No File
ShellIconOverlayIdentifiers: [    YandexDisk2 SyncProgress] -> {75EF3512-D401-4172-BA0F-00E000DCBCE4} =>  -> No File
ShellIconOverlayIdentifiers: [    YandexDisk3 SyncDisabled] -> {8EEE3CD5-1F70-4B63-B19D-A5F1457761DB} =>  -> No File
ShellIconOverlayIdentifiers: [    YandexDisk4 SyncError] -> {9CE04609-A360-4266-9937-9D799E8D2D5A} =>  -> No File
ShellIconOverlayIdentifiers: [    YandexDisk5 SyncPart] -> {63ADB0D1-6DA0-46A2-89D0-E0CE44536E32} =>  -> No File
C:\Windows\Logs\Backdoor.exe
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

thyrex

thyrex

Опубликовано
Опубликовано

Толку никакого от образцов. Я написал, что расшифровки нет.

 

Скрипт выполняйте. Там у Вас отладчик висит.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • MSBishop
      Новое Расширение: Dharma шифровальщика: .onion
      Автор MSBishop
      Поймали шифровальщик. 
      Со страху пользователь грохнул систему и переустановил ОС поэтому ни логов и прочей информации собрать не удалось, остались только зашифрованные фалы
      Имена фалов изменились по шаблону: config.sys.id -66813FE4.[felix_dies@aol.com].onion
      Идентификация в ID Ransomware: Dharma (.onion)
       
      Для прочих dharma шифровальщиков есть дешифраторы.
      Есть ли шанс что для этого расширения будет дешифратор?
    • Александр Панев
      Вирус шифровальщик 3048664056@qq.com
      Автор Александр Панев
      Знакомые поймали вирус-шифровальщик. Просит написать на адрес 3048664056@qq.com
      Файлы зашифрованы с расширением .wallet
       
      1. Сперва PC полечил в ручную, удалил из автозагрузки и компьютера файл с вирусом.
      2. Проверил утилитой от касперского, вирусов больше не нашлось.
      3. При проверки файла с вирусом находит вирус: Trojan-Ransom.Win32.Crusis.xg
       
      В приложении:
      1. файл с вирусом (пароль 123)
      2. Зашифрованный файл
      3. Логи
       

      Строгое предупреждение от модератора "Mark D. Pearlstone" Не публикуйте вредоносные ссылки и файлы на форуме. csrs.exe.id-FC475758.3048664056@qq.com.zip
      CollectionLog-2017.04.26-16.26.zip
      Data recovery FILLs .txt
    • Виталий88
      Trojan-Ransom.Win32.Rakhni decryption tool
      Автор Виталий88
      добрый день, сегодня пришел на работу и не смог открыть не один документ. Все файлы имеют расширение id-.[shadowblacksea@qq.com].wallet. В диспетчере задач висит и даже не скрывается Trojan-Ransom.Win32.Rakhni decryption tool. Можно ли как то восстановить зашифрованные файлы и убить эту заразу? Dr.web как и касперский угроз не нашли
        CollectionLog-2017.04.25-13.53.zip
    • alexander.zas
      Расшифровка Trojan-Ransom.Win32.Crusis
      Автор alexander.zas
      Добрый день.
      Помогите расшифровать Trojan-Ransom.Win32.Crusis, файлы с именем [OriginalName]id-0A7E562E.[3048664056@qq.com].wallet 
    • merlin_hal
      id-70FAE858.[3048664056@qq.com] WALLET
      Автор merlin_hal
      Практически все файлы были зашифрованы и теперь имеют вид: *.docx.id-70FAE858.[3048664056@qq.com] Затронут как пакет MSOffice, так и *.jpg, *.pdf и т.п. Так же на локальном диске был создан файл с содержанием: 
      Your documents, photos, databases, save games and other important data has been encrypted. Data recovery requires decoder. To obtain decoder, please contact me by email: 3048664056@qq.com or patrik.swize@gmx.de or through the service https://bitmsg.me, and send me a message to the address: BM-2cWpwwPT9bqLv7D1VMSFUNJZgQ1mKBRgxK Компьютер в домене и был затронут частично сетевой диск CollectionLog-2017.04.12-14.06.zip
×
×
  • Создать...