Перейти к содержанию

Зашифрованы файлы. В расширении присутствует "[databack44@tuta.io].TEREN"

Katilot
 Поделиться

Рекомендуемые сообщения

Katilot

Katilot

Опубликовано
Опубликовано

Здравствуйте.

На моём компьютере поработал шифровальщик. К именам зашифрованных файлов после их расширения добавился текст "[databack44@tuta.io].TEREN". В каждой папке появился файл "FILES ENCRYPTED.txt" со следующим содержимым:

 

"all your data has been locked us
You want to return?
Write email databack44@tuta.io or decrypt24@gytmail.com"

 

Баннер с требованием выкупа был в файле "info.hta".

На машине стоял Kaspersky Small Office Security 6(19.0.0.1088(m)), но когда я подключился к компьютеру, антивирус не был запущен, после перезагрузки Касперский запустился и выдал обнаружение зараженных файлов svchost.exe и 1svhostru.exe, определил их как "Virus.Win32.Neshta.a". 

Приложил к письму 2 архива:

1. "FRST.rar". В нём результат работы Farbar Recovery Scan Tool.

2. "encrypted_files.rar". В нём 2 зашифрованных вордовских файла и их оригиналы до шифрования.

3. "virus.rar". В нем svchost.com и 1svhost.exe

encrypted_files.rar frst.rar Virus.rar

Katilot

Katilot

Опубликовано
  • Автор
Опубликовано
11 минут назад, kmscom сказал:

Выполните правила оформления запроса о помощи https://forum.kasperskyclub.ru/topic/65731-pravila-oformleniya-zaprosa-o-pomoschi/

 

Добавил в архив encrypted_files.rar записку о выкупе. Или что-то еще не так, заполнял заявку согласно правилам.

encrypted_files.rar

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, это Dharma (.cezar Family) или crysis по терминологии ЛК. Расшифровки нет.

 

Помощь в очистке системы от следов нужна или планируете переустановку?

Katilot

Katilot

Опубликовано
  • Автор
Опубликовано
19 часов назад, Sandor сказал:

Здравствуйте!

 

К сожалению, это Dharma (.cezar Family) или crysis по терминологии ЛК. Расшифровки нет.

 

Помощь в очистке системы от следов нужна или планируете переустановку?

Здравствуйте! да помощь не помешала бы.

Sandor

Sandor

Опубликовано
Опубликовано
Цитата

1234567 (S-1-5-21-2969460774-3974240490-1212742114-1016 - Administrator - Enabled) => C:\Users\1234567
admin (S-1-5-21-2969460774-3974240490-1212742114-1011 - Administrator - Enabled) => C:\Users\admin
test (S-1-5-21-2969460774-3974240490-1212742114-1021 - Administrator - Enabled) => C:\Users\test.RSKRDP

Перечисленные администраторы - все ваши?

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
CreateRestorePoint:

HKLM\...\Run: [1svhostru.exe] => C:\Windows\System32\1svhostru.exe [94720 2020-09-07] () [File not signed]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13922 2020-09-08] () [File not signed]
HKLM\...\Run: [C:\Users\test.RSKRDP\AppData\Roaming\Info.hta] => C:\Users\test.RSKRDP\AppData\Roaming\Info.hta [13922 2020-09-08] () [File not signed]
HKLM\...\Run: [1svhostru.exe] => C:\Windows\System32\1svhostru.exe [94720 2020-09-07] () [File not signed]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13922 2020-09-08] () [File not signed]
HKLM\...\Run: [C:\Users\test.RSKRDP\AppData\Roaming\Info.hta] => C:\Users\test.RSKRDP\AppData\Roaming\Info.hta [13922 2020-09-08] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-09-08] () [File not signed]
Startup: C:\Users\test.RSKRDP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1svhostru.exe [2020-09-08] () [File not signed]
Startup: C:\Users\test.RSKRDP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-09-08] () [File not signed]
2020-09-08 08:26 - 2020-09-08 08:26 - 000013922 _____ C:\Windows\system32\Info.hta
2020-09-08 08:26 - 2020-09-08 08:26 - 000013922 _____ C:\Users\test.RSKRDP\AppData\Roaming\Info.hta
2020-09-08 08:25 - 2020-09-08 08:25 - 000000220 _____ C:\Users\test.RSKRDP\Desktop\FILES ENCRYPTED.txt
2020-09-08 08:25 - 2020-09-08 08:25 - 000000220 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-09-08 08:25 - 2020-09-08 08:25 - 000000220 _____ C:\FILES ENCRYPTED.txt
2020-09-07 21:25 - 2020-09-07 21:25 - 000094720 _____ C:\Windows\system32\1svhostru.exe
2020-09-07 21:24 - 2020-09-07 21:31 - 003054580 _____ C:\Users\test.RSKRDP\Desktop\processhacker-2.39-setup (4).exe.id-15564FAC.[databack44@tuta.io].TEREN
2020-09-07 21:24 - 2020-09-07 21:29 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2020-09-07 21:24 - 2020-09-07 21:26 - 000000000 ____D C:\Program Files\Process Hacker 2
2020-09-07 21:24 - 2020-08-30 03:31 - 000094720 _____ C:\Users\test.RSKRDP\Desktop\1svhostru.exe
2020-09-07 16:45 - 2020-09-07 16:45 - 000041472 _____ C:\Windows\svchost.com
AlternateDataStreams: C:\Users\admin\Desktop\1c.bmp.id-15564FAC.[databack44@tuta.io].TEREN:3or4kl4x13tuuug3Byamue2s4b [93]
AlternateDataStreams: C:\Users\admin\Desktop\1c.bmp.id-15564FAC.[databack44@tuta.io].TEREN:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\admin\Desktop\1c1.bmp.id-15564FAC.[databack44@tuta.io].TEREN:3or4kl4x13tuuug3Byamue2s4b [93]
AlternateDataStreams: C:\Users\admin\Desktop\1c1.bmp.id-15564FAC.[databack44@tuta.io].TEREN:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
HKLM\...\exefile\shell\open\command: C:\Windows\svchost.com "%1" %* <==== ATTENTION
FirewallRules: [{495EE35C-BDB4-4796-99B1-ACD5C9388BEE}] => (Allow) LPort=475
FirewallRules: [{C74991C2-77EC-4B65-9490-1EF9798C1A0C}] => (Allow) LPort=475
FirewallRules: [{4188C7EA-3092-4C3D-83D3-909F96442C21}] => (Allow) C:\Users\admin\Downloads\AnyDesk.exe => No File
FirewallRules: [{BC8F7EC7-08F6-4347-873B-E7FBAF4E32E8}] => (Allow) C:\Users\admin\Downloads\AnyDesk.exe => No File
FirewallRules: [{362EE76A-3803-4CA0-A9B2-2B9627DDB831}] => (Allow) C:\Users\admin\Downloads\AnyDesk.exe => No File
FirewallRules: [{28434244-36B4-49E5-B82C-E240DA0AA960}] => (Allow) C:\Users\admin\Downloads\AnyDesk.exe => No File
FirewallRules: [{0EC9EE42-584A-4DEF-BF6C-869E5AFF845B}] => (Allow) LPort=9422
FirewallRules: [{E1213DA1-7F04-4C19-9129-0EBAEDE25366}] => (Allow) LPort=9245
FirewallRules: [{81CDF397-FBC5-4182-863C-3416CAAEDDB5}] => (Allow) LPort=9246
FirewallRules: [{020AC430-9AA7-4B10-A1CA-27BF2E79EDA2}] => (Allow) LPort=9247
FirewallRules: [{95BC7C77-CC2B-414C-9D1D-31B1F32C17F7}] => (Allow) LPort=3702
FirewallRules: [{EB042C45-A470-4AFE-B65D-05FDBB065020}] => (Allow) LPort=9244
FirewallRules: [{466E4EB5-70D7-42CE-9B04-BFE5BD6E275D}] => (Allow) LPort=9444
Reboot:
End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • negativv666
      Расшифровка файлов
      Автор negativv666
      Добрый день. Зашифровались файлы.
      В архиве Desktop  - письмо от шифровальщика и два зашифрованных файла.
      В архиве ProramData  - файлы prvkey.txt.key которые нужно отправить взломщику. Пароль на этот архив  - virus.
      kixonw@gmail.com - Это архив предположительно с вирусом. Пароль на архив  - virus.
      Касперский определил этот файл как - virus.win32.neshta.a
      Desktop.rar ProgramData.rar kixonw@gmail.com.rar
    • Сергей47
      c0v1d19@job4u.com
      Автор Сергей47
      Кто-нибудь сталкивался с этим?
    • bigV
      Нужна помощь в расшифровке *.id-3E7283FC.[everyday@dr.com].myday
      Автор bigV
      Прошу помочь в расшифровке.
      Есть база данный MySQL на 6 Gb, и файловое хранилище, основная цель дешифровать эти файлы.

      Если расшифровка невозможна, прошу указать в ответе.
      Заранее благодарю.
      ----------------------
      Please help me decrypt files. There is a 6 Gb MySQL database, and file storage, the main purpose is to decrypt these files. If decryption is not possible, please indicate in the answer. Thank you in advance.
      encrypted and orig files.7z
      FILES ENCRYPTED.txt
    • Stedxem91
      Помогите спасти точки восстановления!
      Автор Stedxem91
      Здравствуйте! У меня несколько не стандартная ситуация! В организации 4 компьютера заражены вирусом шифровальщиком с почтой james2020m@aol.com, странно что не в хронологическом порядке и не с общими папками! Три из них заражены полностью, то есть камня на камне не осталось от информации, затерто буквально все что можно, но есть один, по которому он прошелся всего ничего - зашифровал три базы 1с из 20 примерно, все документы в порядке, это я смотрю через live cd. Но я также вижу, что у него живые точки восстановления! В папке system volume information, там файлы по 5 гигабайт не зашифрованы! Я так понимаю, что если я заведу компьютер в обычном режиме - то вирус продолжит свою работу! Если же не заведу - то не смогу воспользоваться точкам восстановления! Подскажите, как его остановить, чтобы можно было запустить систему и предыдущие версии баз восстановить!
      DESKPR.0.rar Подпись модуль.2.jpg.id-043779A6.[James2020m@aol.com].rar
    • test17
      PROJECTBLACK@CRIPTEXT.COM - кидалово
      Автор test17
      PROJECTBLACK@CRIPTEXT.COM
       
      Не платите выкуп данному мошеннику!
      Это кидалово.
      Деньги перечислены - декриптора нет уже неделю!
      Потеряны деньги, потеряно время.
       
      Do not pay a ransom to this fraudster!
      This is a scam.
      The money has been transferred - the descriptor has been missing for a week!
×
×
  • Создать...