Перейти к содержанию

Зашифрованы файлы. В расширении присутствует "[databack44@tuta.io].TEREN"

Katilot
 Share

Рекомендуемые сообщения

Katilot Новичок

Katilot

Опубликовано
Опубликовано

Здравствуйте.

На моём компьютере поработал шифровальщик. К именам зашифрованных файлов после их расширения добавился текст "[databack44@tuta.io].TEREN". В каждой папке появился файл "FILES ENCRYPTED.txt" со следующим содержимым:

 

"all your data has been locked us
You want to return?
Write email databack44@tuta.io or decrypt24@gytmail.com"

 

Баннер с требованием выкупа был в файле "info.hta".

На машине стоял Kaspersky Small Office Security 6(19.0.0.1088(m)), но когда я подключился к компьютеру, антивирус не был запущен, после перезагрузки Касперский запустился и выдал обнаружение зараженных файлов svchost.exe и 1svhostru.exe, определил их как "Virus.Win32.Neshta.a". 

Приложил к письму 2 архива:

1. "FRST.rar". В нём результат работы Farbar Recovery Scan Tool.

2. "encrypted_files.rar". В нём 2 зашифрованных вордовских файла и их оригиналы до шифрования.

3. "virus.rar". В нем svchost.com и 1svhost.exe

encrypted_files.rar frst.rar Virus.rar

Ссылка на комментарий
Поделиться на другие сайты
Katilot Новичок

Katilot

Опубликовано
  • Автор
Опубликовано
11 минут назад, kmscom сказал:

Выполните правила оформления запроса о помощи https://forum.kasperskyclub.ru/topic/65731-pravila-oformleniya-zaprosa-o-pomoschi/

 

Добавил в архив encrypted_files.rar записку о выкупе. Или что-то еще не так, заполнял заявку согласно правилам.

encrypted_files.rar

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, это Dharma (.cezar Family) или crysis по терминологии ЛК. Расшифровки нет.

 

Помощь в очистке системы от следов нужна или планируете переустановку?

Ссылка на комментарий
Поделиться на другие сайты
Katilot Новичок

Katilot

Опубликовано
  • Автор
Опубликовано
19 часов назад, Sandor сказал:

Здравствуйте!

 

К сожалению, это Dharma (.cezar Family) или crysis по терминологии ЛК. Расшифровки нет.

 

Помощь в очистке системы от следов нужна или планируете переустановку?

Здравствуйте! да помощь не помешала бы.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
Цитата

1234567 (S-1-5-21-2969460774-3974240490-1212742114-1016 - Administrator - Enabled) => C:\Users\1234567
admin (S-1-5-21-2969460774-3974240490-1212742114-1011 - Administrator - Enabled) => C:\Users\admin
test (S-1-5-21-2969460774-3974240490-1212742114-1021 - Administrator - Enabled) => C:\Users\test.RSKRDP

Перечисленные администраторы - все ваши?

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
CreateRestorePoint:

HKLM\...\Run: [1svhostru.exe] => C:\Windows\System32\1svhostru.exe [94720 2020-09-07] () [File not signed]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13922 2020-09-08] () [File not signed]
HKLM\...\Run: [C:\Users\test.RSKRDP\AppData\Roaming\Info.hta] => C:\Users\test.RSKRDP\AppData\Roaming\Info.hta [13922 2020-09-08] () [File not signed]
HKLM\...\Run: [1svhostru.exe] => C:\Windows\System32\1svhostru.exe [94720 2020-09-07] () [File not signed]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13922 2020-09-08] () [File not signed]
HKLM\...\Run: [C:\Users\test.RSKRDP\AppData\Roaming\Info.hta] => C:\Users\test.RSKRDP\AppData\Roaming\Info.hta [13922 2020-09-08] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-09-08] () [File not signed]
Startup: C:\Users\test.RSKRDP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1svhostru.exe [2020-09-08] () [File not signed]
Startup: C:\Users\test.RSKRDP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-09-08] () [File not signed]
2020-09-08 08:26 - 2020-09-08 08:26 - 000013922 _____ C:\Windows\system32\Info.hta
2020-09-08 08:26 - 2020-09-08 08:26 - 000013922 _____ C:\Users\test.RSKRDP\AppData\Roaming\Info.hta
2020-09-08 08:25 - 2020-09-08 08:25 - 000000220 _____ C:\Users\test.RSKRDP\Desktop\FILES ENCRYPTED.txt
2020-09-08 08:25 - 2020-09-08 08:25 - 000000220 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-09-08 08:25 - 2020-09-08 08:25 - 000000220 _____ C:\FILES ENCRYPTED.txt
2020-09-07 21:25 - 2020-09-07 21:25 - 000094720 _____ C:\Windows\system32\1svhostru.exe
2020-09-07 21:24 - 2020-09-07 21:31 - 003054580 _____ C:\Users\test.RSKRDP\Desktop\processhacker-2.39-setup (4).exe.id-15564FAC.[databack44@tuta.io].TEREN
2020-09-07 21:24 - 2020-09-07 21:29 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2020-09-07 21:24 - 2020-09-07 21:26 - 000000000 ____D C:\Program Files\Process Hacker 2
2020-09-07 21:24 - 2020-08-30 03:31 - 000094720 _____ C:\Users\test.RSKRDP\Desktop\1svhostru.exe
2020-09-07 16:45 - 2020-09-07 16:45 - 000041472 _____ C:\Windows\svchost.com
AlternateDataStreams: C:\Users\admin\Desktop\1c.bmp.id-15564FAC.[databack44@tuta.io].TEREN:3or4kl4x13tuuug3Byamue2s4b [93]
AlternateDataStreams: C:\Users\admin\Desktop\1c.bmp.id-15564FAC.[databack44@tuta.io].TEREN:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\admin\Desktop\1c1.bmp.id-15564FAC.[databack44@tuta.io].TEREN:3or4kl4x13tuuug3Byamue2s4b [93]
AlternateDataStreams: C:\Users\admin\Desktop\1c1.bmp.id-15564FAC.[databack44@tuta.io].TEREN:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
HKLM\...\exefile\shell\open\command: C:\Windows\svchost.com "%1" %* <==== ATTENTION
FirewallRules: [{495EE35C-BDB4-4796-99B1-ACD5C9388BEE}] => (Allow) LPort=475
FirewallRules: [{C74991C2-77EC-4B65-9490-1EF9798C1A0C}] => (Allow) LPort=475
FirewallRules: [{4188C7EA-3092-4C3D-83D3-909F96442C21}] => (Allow) C:\Users\admin\Downloads\AnyDesk.exe => No File
FirewallRules: [{BC8F7EC7-08F6-4347-873B-E7FBAF4E32E8}] => (Allow) C:\Users\admin\Downloads\AnyDesk.exe => No File
FirewallRules: [{362EE76A-3803-4CA0-A9B2-2B9627DDB831}] => (Allow) C:\Users\admin\Downloads\AnyDesk.exe => No File
FirewallRules: [{28434244-36B4-49E5-B82C-E240DA0AA960}] => (Allow) C:\Users\admin\Downloads\AnyDesk.exe => No File
FirewallRules: [{0EC9EE42-584A-4DEF-BF6C-869E5AFF845B}] => (Allow) LPort=9422
FirewallRules: [{E1213DA1-7F04-4C19-9129-0EBAEDE25366}] => (Allow) LPort=9245
FirewallRules: [{81CDF397-FBC5-4182-863C-3416CAAEDDB5}] => (Allow) LPort=9246
FirewallRules: [{020AC430-9AA7-4B10-A1CA-27BF2E79EDA2}] => (Allow) LPort=9247
FirewallRules: [{95BC7C77-CC2B-414C-9D1D-31B1F32C17F7}] => (Allow) LPort=3702
FirewallRules: [{EB042C45-A470-4AFE-B65D-05FDBB065020}] => (Allow) LPort=9244
FirewallRules: [{466E4EB5-70D7-42CE-9B04-BFE5BD6E275D}] => (Allow) LPort=9444
Reboot:
End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Андрюс
      Файлы зашифрованы с расширением vTEyZg5DZ
      От Андрюс
      Получили по почте письмо, открыли его и сразу произошла шифровка всех документов. Прилагаем требуемые файлы
      x1.rar
      Скажите возможно ли расшифровать?
    • DennisKo
      Зашифровали файлы расширение ANDRE
      От DennisKo
      Помогите в расшифровке. Файлы kl_to_1C.txt это оригинал файла, а kl_to_1C_crypt.txt ' это зашифрованный файл. andre 
      может поможет в понимании как зашифровали. 

      Addition.txt Andrews_Help.txt FRST.txt kl_to_1c.txt kl_to_1c_crypt.txt
    • vogd
      Зашифрованы файлы, расширение HeeMY17Ky
      От vogd
      Добрый день. Все файлы сервера зашифрованы с расширением HeeMY17Ky
      HeeMY17Ky.README.txt FRST.txt Addition.txt Примеры файлов.zip
    • Алексей Шеин
      Файлы зашифрованы шифровальщиком с расширением .yzho
      От Алексей Шеин
      Добрый день.
       
      Зашифровались данные на дисках компьютера, все файлы стали с расширением .yzho кто подскажет, чем можно расшифровать?
      Спасибо.
       
      С уважением,
      Алексей Шеин
       

       
    • Kazantipok
      Зашифровали файлы с расширением oo4ps и диски Bitlocker
      От Kazantipok
      Windows Server 2019 развернут 31.01.25.
       
      До 08:24 16.02.25 все работало. Была установлена синхронизация с Dropbox диска D. После этого по логам начали удаляться все папки и файлы. С утра 17.02.25 сервер 1С не доступен, пароль Админа к серверу по RDP не подходил, сервер перезагружался (не помогло), вручную вкл./выкл. помогло, зашел под другой учеткой с админ. правами, сбросил пароль основной учетки Админ. По итогу на диске С файлы с расширением .oo4ps и два диска D и E запаролены Bitlocker.
      Помогите пожалуйста разблокировать диск E - там хранились бекапы.
      Desktop.rar FRST.txt Addition.txt
×
×
  • Создать...