Перейти к содержанию

Зашифрованы файлы. В расширении присутствует "[databack44@tuta.io].TEREN"


Рекомендуемые сообщения

Здравствуйте.

На моём компьютере поработал шифровальщик. К именам зашифрованных файлов после их расширения добавился текст "[databack44@tuta.io].TEREN". В каждой папке появился файл "FILES ENCRYPTED.txt" со следующим содержимым:

 

"all your data has been locked us
You want to return?
Write email databack44@tuta.io or decrypt24@gytmail.com
"

 

Баннер с требованием выкупа был в файле "info.hta".

На машине стоял Kaspersky Small Office Security 6(19.0.0.1088(m)), но когда я подключился к компьютеру, антивирус не был запущен, после перезагрузки Касперский запустился и выдал обнаружение зараженных файлов svchost.exe и 1svhostru.exe, определил их как "Virus.Win32.Neshta.a". 

Приложил к письму 2 архива:

1. "FRST.rar". В нём результат работы Farbar Recovery Scan Tool.

2. "encrypted_files.rar". В нём 2 зашифрованных вордовских файла и их оригиналы до шифрования.

3. "virus.rar". В нем svchost.com и 1svhost.exe

encrypted_files.rar frst.rar Virus.rar

Ссылка на комментарий
Поделиться на другие сайты

11 минут назад, kmscom сказал:

Выполните правила оформления запроса о помощи https://forum.kasperskyclub.ru/topic/65731-pravila-oformleniya-zaprosa-o-pomoschi/

 

Добавил в архив encrypted_files.rar записку о выкупе. Или что-то еще не так, заполнял заявку согласно правилам.

encrypted_files.rar

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

К сожалению, это Dharma (.cezar Family) или crysis по терминологии ЛК. Расшифровки нет.

 

Помощь в очистке системы от следов нужна или планируете переустановку?

Ссылка на комментарий
Поделиться на другие сайты

19 часов назад, Sandor сказал:

Здравствуйте!

 

К сожалению, это Dharma (.cezar Family) или crysis по терминологии ЛК. Расшифровки нет.

 

Помощь в очистке системы от следов нужна или планируете переустановку?

Здравствуйте! да помощь не помешала бы.

Ссылка на комментарий
Поделиться на другие сайты

Цитата

1234567 (S-1-5-21-2969460774-3974240490-1212742114-1016 - Administrator - Enabled) => C:\Users\1234567
admin (S-1-5-21-2969460774-3974240490-1212742114-1011 - Administrator - Enabled) => C:\Users\admin
test (S-1-5-21-2969460774-3974240490-1212742114-1021 - Administrator - Enabled) => C:\Users\test.RSKRDP

Перечисленные администраторы - все ваши?

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    
    HKLM\...\Run: [1svhostru.exe] => C:\Windows\System32\1svhostru.exe [94720 2020-09-07] () [File not signed]
    HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13922 2020-09-08] () [File not signed]
    HKLM\...\Run: [C:\Users\test.RSKRDP\AppData\Roaming\Info.hta] => C:\Users\test.RSKRDP\AppData\Roaming\Info.hta [13922 2020-09-08] () [File not signed]
    HKLM\...\Run: [1svhostru.exe] => C:\Windows\System32\1svhostru.exe [94720 2020-09-07] () [File not signed]
    HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13922 2020-09-08] () [File not signed]
    HKLM\...\Run: [C:\Users\test.RSKRDP\AppData\Roaming\Info.hta] => C:\Users\test.RSKRDP\AppData\Roaming\Info.hta [13922 2020-09-08] () [File not signed]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-09-08] () [File not signed]
    Startup: C:\Users\test.RSKRDP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1svhostru.exe [2020-09-08] () [File not signed]
    Startup: C:\Users\test.RSKRDP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-09-08] () [File not signed]
    2020-09-08 08:26 - 2020-09-08 08:26 - 000013922 _____ C:\Windows\system32\Info.hta
    2020-09-08 08:26 - 2020-09-08 08:26 - 000013922 _____ C:\Users\test.RSKRDP\AppData\Roaming\Info.hta
    2020-09-08 08:25 - 2020-09-08 08:25 - 000000220 _____ C:\Users\test.RSKRDP\Desktop\FILES ENCRYPTED.txt
    2020-09-08 08:25 - 2020-09-08 08:25 - 000000220 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2020-09-08 08:25 - 2020-09-08 08:25 - 000000220 _____ C:\FILES ENCRYPTED.txt
    2020-09-07 21:25 - 2020-09-07 21:25 - 000094720 _____ C:\Windows\system32\1svhostru.exe
    2020-09-07 21:24 - 2020-09-07 21:31 - 003054580 _____ C:\Users\test.RSKRDP\Desktop\processhacker-2.39-setup (4).exe.id-15564FAC.[databack44@tuta.io].TEREN
    2020-09-07 21:24 - 2020-09-07 21:29 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
    2020-09-07 21:24 - 2020-09-07 21:26 - 000000000 ____D C:\Program Files\Process Hacker 2
    2020-09-07 21:24 - 2020-08-30 03:31 - 000094720 _____ C:\Users\test.RSKRDP\Desktop\1svhostru.exe
    2020-09-07 16:45 - 2020-09-07 16:45 - 000041472 _____ C:\Windows\svchost.com
    AlternateDataStreams: C:\Users\admin\Desktop\1c.bmp.id-15564FAC.[databack44@tuta.io].TEREN:3or4kl4x13tuuug3Byamue2s4b [93]
    AlternateDataStreams: C:\Users\admin\Desktop\1c.bmp.id-15564FAC.[databack44@tuta.io].TEREN:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
    AlternateDataStreams: C:\Users\admin\Desktop\1c1.bmp.id-15564FAC.[databack44@tuta.io].TEREN:3or4kl4x13tuuug3Byamue2s4b [93]
    AlternateDataStreams: C:\Users\admin\Desktop\1c1.bmp.id-15564FAC.[databack44@tuta.io].TEREN:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
    HKLM\...\exefile\shell\open\command: C:\Windows\svchost.com "%1" %* <==== ATTENTION
    FirewallRules: [{495EE35C-BDB4-4796-99B1-ACD5C9388BEE}] => (Allow) LPort=475
    FirewallRules: [{C74991C2-77EC-4B65-9490-1EF9798C1A0C}] => (Allow) LPort=475
    FirewallRules: [{4188C7EA-3092-4C3D-83D3-909F96442C21}] => (Allow) C:\Users\admin\Downloads\AnyDesk.exe => No File
    FirewallRules: [{BC8F7EC7-08F6-4347-873B-E7FBAF4E32E8}] => (Allow) C:\Users\admin\Downloads\AnyDesk.exe => No File
    FirewallRules: [{362EE76A-3803-4CA0-A9B2-2B9627DDB831}] => (Allow) C:\Users\admin\Downloads\AnyDesk.exe => No File
    FirewallRules: [{28434244-36B4-49E5-B82C-E240DA0AA960}] => (Allow) C:\Users\admin\Downloads\AnyDesk.exe => No File
    FirewallRules: [{0EC9EE42-584A-4DEF-BF6C-869E5AFF845B}] => (Allow) LPort=9422
    FirewallRules: [{E1213DA1-7F04-4C19-9129-0EBAEDE25366}] => (Allow) LPort=9245
    FirewallRules: [{81CDF397-FBC5-4182-863C-3416CAAEDDB5}] => (Allow) LPort=9246
    FirewallRules: [{020AC430-9AA7-4B10-A1CA-27BF2E79EDA2}] => (Allow) LPort=9247
    FirewallRules: [{95BC7C77-CC2B-414C-9D1D-31B1F32C17F7}] => (Allow) LPort=3702
    FirewallRules: [{EB042C45-A470-4AFE-B65D-05FDBB065020}] => (Allow) LPort=9244
    FirewallRules: [{466E4EB5-70D7-42CE-9B04-BFE5BD6E275D}] => (Allow) LPort=9444
    Reboot:
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • jserov96
      От jserov96
      Шифровальщик запустился скорее всего из планировщика заданий ровно в 21:00 16 ноября в субботу.  Время указано на основе найденных зашифрованных файлов. Шифровальщик нашел все скрытые диски, подключил все бекапы, зашифровал все содержимое .vhd бекапов, и сами бекапы тоже зашифровал. Сервер отключен, диск с бекапами снят, зашифрованные .vhd файлы перенесены на другой диск, чтобы попробовать вытащить файлы. Шифровальщик шифрует первый 20000h байт файла и дописывает 300h байт в огромные файлы, видимо сделано для ускорения шифрования всего диска. Особенность: выполняемые файлы не шифруются!
      vx2.rar
    • 4ikotillo
      От 4ikotillo
      Добрый день, обнаружил на своем сетевом хранилище зашифрованные файлы. Файлы были зашиврованы не во всех директориях, а только в тех у которых были права на вход пользователя guest. Я не нашел источник заразы, проверил все компьютеры дома, все чисто. Само шифрование длилось порядка 4 часов и не все файлы были зашиврованны. Видимо зараженное устройство только какое-то время было в моей сети. Прилагаю примеры зашиврованных файлов, мне известно только то что они все имею расширение 4utjb34h. Спасибо за любую помощь.
      4utjb34h.zip FRST.txt
    • Gennadiy89
      От Gennadiy89
      Всем привет недавно зашифровали файлы на компе расширение "MZEM8GTPE" . Электронную почту в файле readme оставили почта help@room155.online или room155@tuta.io. Требуют 20-30 тысяч за восстановление файлов. Хорошо многие файлы дома на другом компе сохранены, за последние пару недель файлы остались зашифрованными только. Подскажите добрые люди можно ли как то расшифровать?
      выписка.docx
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
×
×
  • Создать...