crysis "Поймали" harma ...

[vas]

Здравствуйте!

Поймали шифровальщика, как - непонятно, система залогиниться не даёт.

системный раздел и часть данных восстановили из "ночной" копии (таким образом есть исходные и шифрованные экземпляры файлов)

в восстановленную систему подключил зашифрованные диски

к именам зашифрованных файлов добавилось ".id-74BE11F1.[crypt0r1@protonmail.com]"
 

Но, как оказалось, не всё нужное попало в резервную копию...

 

Автоматический сборщик логов запускал на восстановленной системе

также прикладываю "образцы" зашифрованных и исходных файлов

 

с робкой надеждой на успех...

 

Спасибо!

CollectionLog-2020.07.17-04.23.zip _образцы.7z

[thyrex]

Увы, расшифровки нет ни в одной антивирусной компании. Логи с чистой системы бесполезны.

[vas]

Добрый вечер.

 

История имеет продолжение.

 

после частичного восстановления данных (не здесь, увы и ах, но и не у вымогателя) восстановленная машина была снова зашифрована ?

(ну что сделаешь, такие вот мы (((

на этот раз удалось попасть в саму систему без восстановления, руками были найдены несколько экземпляров зловреда (думаю, что зловред, проверять не стал )),
но имя 9878BM_payload.exe и info.hta), и найденные экземпляры были перемещены в отдельную папку и с них сделан шифрованный архив, если нужно, предоставлю.

 

Потом запустил автоматический сборщик логов, файлы прикладываю.

 

компьютер был восстановлен из архива, но два дня работы 1С-ников (как оказалось, очень напряжённых и плодотворных) таки пропали.

так что восстановление бы не очень не помешало...

если нужны шифрованные/нешифрованные  образцы файлов - предоставлю.

 

Addition.txt FRST.txt

[thyrex]

Паролm от RDP давно пора сменить, а сам RDP скрыть за VPN.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\...\Run: [9878BM_payload.exe] => C:\Windows\System32\9878BM_payload.exe
HKLM\...\Run: [C:\Windows\System32\Info.hta] => mshta.exe "C:\Windows\System32\Info.hta"
HKLM\...\Run: [d:\Users\Bgt4\AppData\Roaming\Info.hta] => mshta.exe "d:\Users\Bgt4\AppData\Roaming\Info.hta"
HKU\S-1-5-21-4016076152-4029761368-1868360458-1000\...\Run: [9878BM_payload.exe] => C:\Users\vas\AppData\Roaming\9878BM_payload.exe
HKU\S-1-5-21-4016076152-4029761368-1868360458-1000\...\Run: [C:\Users\vas\AppData\Roaming\Info.hta] => mshta.exe "C:\Users\vas\AppData\Roaming\Info.hta"
HKU\S-1-5-21-4016076152-4029761368-1868360458-1000\...\MountPoints2: {dd6e2b3e-9327-11e8-96d3-806e6f6e6963} - I:\SETUP.EXE
IFEO\sethc.exe: [Debugger] C:\Windows\Logs\Backdoor.exe
IFEO\utilman.exe: [Debugger] C:\Windows\Logs\Backdoor.exe
Lsa: [Notification Packages] scecli rassfm
GroupPolicy: Restriction ? <==== ATTENTION
Task: {C340B803-9DF7-458A-98E0-C85813DCB425} - \KMSAuto -> No File <==== ATTENTION
Task: {DBBCD7CF-DC59-45B6-9F53-990B95D624A5} - \KMSAutoNet -> No File <==== ATTENTION
2020-07-26 11:54 - 2020-07-26 13:47 - 000000222 _____ C:\FILES ENCRYPTED.txt
2020-07-26 11:54 - 2020-07-26 11:54 - 000000222 _____ d:\Users\Bgt4\Desktop\FILES ENCRYPTED.txt
ShellIconOverlayIdentifiers: [    YandexDisk1 SyncDone] -> {C5F6CDD1-FB7B-4971-A53F-4B00757F756B} =>  -> No File
ShellIconOverlayIdentifiers: [    YandexDisk2 SyncProgress] -> {75EF3512-D401-4172-BA0F-00E000DCBCE4} =>  -> No File
ShellIconOverlayIdentifiers: [    YandexDisk3 SyncDisabled] -> {8EEE3CD5-1F70-4B63-B19D-A5F1457761DB} =>  -> No File
ShellIconOverlayIdentifiers: [    YandexDisk4 SyncError] -> {9CE04609-A360-4266-9937-9D799E8D2D5A} =>  -> No File
ShellIconOverlayIdentifiers: [    YandexDisk5 SyncPart] -> {63ADB0D1-6DA0-46A2-89D0-E0CE44536E32} =>  -> No File
C:\Windows\Logs\Backdoor.exe
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

[vas]

добавляю образцы файлов

files.7z

[thyrex]

Толку никакого от образцов. Я написал, что расшифровки нет.

 

Скрипт выполняйте. Там у Вас отладчик висит.

[vas]

сделал, компьютер ушёл в перезагрузку

 

Fixlog.txt

[thyrex]

Больше помочь нечем.