Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте!

Поймали шифровальщика, как - непонятно, система залогиниться не даёт.

системный раздел и часть данных восстановили из "ночной" копии (таким образом есть исходные и шифрованные экземпляры файлов)

в восстановленную систему подключил зашифрованные диски

к именам зашифрованных файлов добавилось ".id-74BE11F1.[crypt0r1@protonmail.com]"
 

Но, как оказалось, не всё нужное попало в резервную копию...

 

Автоматический сборщик логов запускал на восстановленной системе

также прикладываю "образцы" зашифрованных и исходных файлов

 

с робкой надеждой на успех...

 

Спасибо!

CollectionLog-2020.07.17-04.23.zip _образцы.7z

Ссылка на комментарий
Поделиться на другие сайты

  • 2 weeks later...

Добрый вечер.

 

История имеет продолжение.

 

после частичного восстановления данных (не здесь, увы и ах, но и не у вымогателя) восстановленная машина была снова зашифрована ?

(ну что сделаешь, такие вот мы (((

на этот раз удалось попасть в саму систему без восстановления, руками были найдены несколько экземпляров зловреда (думаю, что зловред, проверять не стал )),
но имя 9878BM_payload.exe и info.hta), и найденные экземпляры были перемещены в отдельную папку и с них сделан шифрованный архив, если нужно, предоставлю.

 

Потом запустил автоматический сборщик логов, файлы прикладываю.

 

компьютер был восстановлен из архива, но два дня работы 1С-ников (как оказалось, очень напряжённых и плодотворных) таки пропали.

так что восстановление бы не очень не помешало...

если нужны шифрованные/нешифрованные  образцы файлов - предоставлю.

 

Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

Паролm от RDP давно пора сменить, а сам RDP скрыть за VPN.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\...\Run: [9878BM_payload.exe] => C:\Windows\System32\9878BM_payload.exe
HKLM\...\Run: [C:\Windows\System32\Info.hta] => mshta.exe "C:\Windows\System32\Info.hta"
HKLM\...\Run: [d:\Users\Bgt4\AppData\Roaming\Info.hta] => mshta.exe "d:\Users\Bgt4\AppData\Roaming\Info.hta"
HKU\S-1-5-21-4016076152-4029761368-1868360458-1000\...\Run: [9878BM_payload.exe] => C:\Users\vas\AppData\Roaming\9878BM_payload.exe
HKU\S-1-5-21-4016076152-4029761368-1868360458-1000\...\Run: [C:\Users\vas\AppData\Roaming\Info.hta] => mshta.exe "C:\Users\vas\AppData\Roaming\Info.hta"
HKU\S-1-5-21-4016076152-4029761368-1868360458-1000\...\MountPoints2: {dd6e2b3e-9327-11e8-96d3-806e6f6e6963} - I:\SETUP.EXE
IFEO\sethc.exe: [Debugger] C:\Windows\Logs\Backdoor.exe
IFEO\utilman.exe: [Debugger] C:\Windows\Logs\Backdoor.exe
Lsa: [Notification Packages] scecli rassfm
GroupPolicy: Restriction ? <==== ATTENTION
Task: {C340B803-9DF7-458A-98E0-C85813DCB425} - \KMSAuto -> No File <==== ATTENTION
Task: {DBBCD7CF-DC59-45B6-9F53-990B95D624A5} - \KMSAutoNet -> No File <==== ATTENTION
2020-07-26 11:54 - 2020-07-26 13:47 - 000000222 _____ C:\FILES ENCRYPTED.txt
2020-07-26 11:54 - 2020-07-26 11:54 - 000000222 _____ d:\Users\Bgt4\Desktop\FILES ENCRYPTED.txt
ShellIconOverlayIdentifiers: [    YandexDisk1 SyncDone] -> {C5F6CDD1-FB7B-4971-A53F-4B00757F756B} =>  -> No File
ShellIconOverlayIdentifiers: [    YandexDisk2 SyncProgress] -> {75EF3512-D401-4172-BA0F-00E000DCBCE4} =>  -> No File
ShellIconOverlayIdentifiers: [    YandexDisk3 SyncDisabled] -> {8EEE3CD5-1F70-4B63-B19D-A5F1457761DB} =>  -> No File
ShellIconOverlayIdentifiers: [    YandexDisk4 SyncError] -> {9CE04609-A360-4266-9937-9D799E8D2D5A} =>  -> No File
ShellIconOverlayIdentifiers: [    YandexDisk5 SyncPart] -> {63ADB0D1-6DA0-46A2-89D0-E0CE44536E32} =>  -> No File
C:\Windows\Logs\Backdoor.exe
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • IrinaC
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • BORIS59
      От BORIS59
      Доброго времечка поймал шифровальщик, система не переустанавливалась.
      Зашифровали файлы (WANNACASH NCOV v170720), требуют выкуп!
      Попался на поиске ключей ESET, в 2020г. Обращался в ESET про пудрили
      мозг и смылись. Приложил скрин kvrt сделан сразу после шифровки.
      Подскажите, пожалуйста, возможно восстановить?

      Farbar Recovery Scan Tool.zip Файлы с требованиями злоумышленников.zip Зашифрованные файлы.zip
    • yarosvent
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
    • Lexarr
      От Lexarr
      Недавно обнаружил лаги на компе , решил скачать антивирус , провериться , так у меня все сайты с антивирусами сразу закрывались , диспетчер задач тоже закрывался , если заходить в системные папки «проводник» тоже закрывался , загрузил с флешки CureIt , он нашел майнер , удалил его , после перезагрузки майнер вернулся обратно 

      CollectionLog-2024.12.16-17.06.zip
    • Evgen001
      От Evgen001
      Здравствуйте! С месяц назад качал ворд и поймал вирусы, через касперского вроде как удалил все, сегодня решил обновить виндовс, зашел, а службы все переименованы. UsoSvc_bkp, wuauserv_bkp стали вот в таком формате. Прикрепляю логи
      CollectionLog-2025.01.08-01.01.zip
×
×
  • Создать...