Перейти к содержанию

Зашифрованы файлы. В расширении присутствует "[databack44@tuta.io].TEREN"

Katilot
 Share

Рекомендуемые сообщения

Katilot Новичок

Katilot

Опубликовано
Опубликовано

Здравствуйте.

На моём компьютере поработал шифровальщик. К именам зашифрованных файлов после их расширения добавился текст "[databack44@tuta.io].TEREN". В каждой папке появился файл "FILES ENCRYPTED.txt" со следующим содержимым:

 

"all your data has been locked us
You want to return?
Write email databack44@tuta.io or decrypt24@gytmail.com"

 

Баннер с требованием выкупа был в файле "info.hta".

На машине стоял Kaspersky Small Office Security 6(19.0.0.1088(m)), но когда я подключился к компьютеру, антивирус не был запущен, после перезагрузки Касперский запустился и выдал обнаружение зараженных файлов svchost.exe и 1svhostru.exe, определил их как "Virus.Win32.Neshta.a". 

Приложил к письму 2 архива:

1. "FRST.rar". В нём результат работы Farbar Recovery Scan Tool.

2. "encrypted_files.rar". В нём 2 зашифрованных вордовских файла и их оригиналы до шифрования.

3. "virus.rar". В нем svchost.com и 1svhost.exe

encrypted_files.rar frst.rar Virus.rar

Ссылка на комментарий
Поделиться на другие сайты
Katilot Новичок

Katilot

Опубликовано
  • Автор
Опубликовано
11 минут назад, kmscom сказал:

Выполните правила оформления запроса о помощи https://forum.kasperskyclub.ru/topic/65731-pravila-oformleniya-zaprosa-o-pomoschi/

 

Добавил в архив encrypted_files.rar записку о выкупе. Или что-то еще не так, заполнял заявку согласно правилам.

encrypted_files.rar

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, это Dharma (.cezar Family) или crysis по терминологии ЛК. Расшифровки нет.

 

Помощь в очистке системы от следов нужна или планируете переустановку?

Ссылка на комментарий
Поделиться на другие сайты
Katilot Новичок

Katilot

Опубликовано
  • Автор
Опубликовано
19 часов назад, Sandor сказал:

Здравствуйте!

 

К сожалению, это Dharma (.cezar Family) или crysis по терминологии ЛК. Расшифровки нет.

 

Помощь в очистке системы от следов нужна или планируете переустановку?

Здравствуйте! да помощь не помешала бы.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
Цитата

1234567 (S-1-5-21-2969460774-3974240490-1212742114-1016 - Administrator - Enabled) => C:\Users\1234567
admin (S-1-5-21-2969460774-3974240490-1212742114-1011 - Administrator - Enabled) => C:\Users\admin
test (S-1-5-21-2969460774-3974240490-1212742114-1021 - Administrator - Enabled) => C:\Users\test.RSKRDP

Перечисленные администраторы - все ваши?

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
CreateRestorePoint:

HKLM\...\Run: [1svhostru.exe] => C:\Windows\System32\1svhostru.exe [94720 2020-09-07] () [File not signed]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13922 2020-09-08] () [File not signed]
HKLM\...\Run: [C:\Users\test.RSKRDP\AppData\Roaming\Info.hta] => C:\Users\test.RSKRDP\AppData\Roaming\Info.hta [13922 2020-09-08] () [File not signed]
HKLM\...\Run: [1svhostru.exe] => C:\Windows\System32\1svhostru.exe [94720 2020-09-07] () [File not signed]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13922 2020-09-08] () [File not signed]
HKLM\...\Run: [C:\Users\test.RSKRDP\AppData\Roaming\Info.hta] => C:\Users\test.RSKRDP\AppData\Roaming\Info.hta [13922 2020-09-08] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-09-08] () [File not signed]
Startup: C:\Users\test.RSKRDP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1svhostru.exe [2020-09-08] () [File not signed]
Startup: C:\Users\test.RSKRDP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-09-08] () [File not signed]
2020-09-08 08:26 - 2020-09-08 08:26 - 000013922 _____ C:\Windows\system32\Info.hta
2020-09-08 08:26 - 2020-09-08 08:26 - 000013922 _____ C:\Users\test.RSKRDP\AppData\Roaming\Info.hta
2020-09-08 08:25 - 2020-09-08 08:25 - 000000220 _____ C:\Users\test.RSKRDP\Desktop\FILES ENCRYPTED.txt
2020-09-08 08:25 - 2020-09-08 08:25 - 000000220 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-09-08 08:25 - 2020-09-08 08:25 - 000000220 _____ C:\FILES ENCRYPTED.txt
2020-09-07 21:25 - 2020-09-07 21:25 - 000094720 _____ C:\Windows\system32\1svhostru.exe
2020-09-07 21:24 - 2020-09-07 21:31 - 003054580 _____ C:\Users\test.RSKRDP\Desktop\processhacker-2.39-setup (4).exe.id-15564FAC.[databack44@tuta.io].TEREN
2020-09-07 21:24 - 2020-09-07 21:29 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2020-09-07 21:24 - 2020-09-07 21:26 - 000000000 ____D C:\Program Files\Process Hacker 2
2020-09-07 21:24 - 2020-08-30 03:31 - 000094720 _____ C:\Users\test.RSKRDP\Desktop\1svhostru.exe
2020-09-07 16:45 - 2020-09-07 16:45 - 000041472 _____ C:\Windows\svchost.com
AlternateDataStreams: C:\Users\admin\Desktop\1c.bmp.id-15564FAC.[databack44@tuta.io].TEREN:3or4kl4x13tuuug3Byamue2s4b [93]
AlternateDataStreams: C:\Users\admin\Desktop\1c.bmp.id-15564FAC.[databack44@tuta.io].TEREN:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\admin\Desktop\1c1.bmp.id-15564FAC.[databack44@tuta.io].TEREN:3or4kl4x13tuuug3Byamue2s4b [93]
AlternateDataStreams: C:\Users\admin\Desktop\1c1.bmp.id-15564FAC.[databack44@tuta.io].TEREN:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
HKLM\...\exefile\shell\open\command: C:\Windows\svchost.com "%1" %* <==== ATTENTION
FirewallRules: [{495EE35C-BDB4-4796-99B1-ACD5C9388BEE}] => (Allow) LPort=475
FirewallRules: [{C74991C2-77EC-4B65-9490-1EF9798C1A0C}] => (Allow) LPort=475
FirewallRules: [{4188C7EA-3092-4C3D-83D3-909F96442C21}] => (Allow) C:\Users\admin\Downloads\AnyDesk.exe => No File
FirewallRules: [{BC8F7EC7-08F6-4347-873B-E7FBAF4E32E8}] => (Allow) C:\Users\admin\Downloads\AnyDesk.exe => No File
FirewallRules: [{362EE76A-3803-4CA0-A9B2-2B9627DDB831}] => (Allow) C:\Users\admin\Downloads\AnyDesk.exe => No File
FirewallRules: [{28434244-36B4-49E5-B82C-E240DA0AA960}] => (Allow) C:\Users\admin\Downloads\AnyDesk.exe => No File
FirewallRules: [{0EC9EE42-584A-4DEF-BF6C-869E5AFF845B}] => (Allow) LPort=9422
FirewallRules: [{E1213DA1-7F04-4C19-9129-0EBAEDE25366}] => (Allow) LPort=9245
FirewallRules: [{81CDF397-FBC5-4182-863C-3416CAAEDDB5}] => (Allow) LPort=9246
FirewallRules: [{020AC430-9AA7-4B10-A1CA-27BF2E79EDA2}] => (Allow) LPort=9247
FirewallRules: [{95BC7C77-CC2B-414C-9D1D-31B1F32C17F7}] => (Allow) LPort=3702
FirewallRules: [{EB042C45-A470-4AFE-B65D-05FDBB065020}] => (Allow) LPort=9244
FirewallRules: [{466E4EB5-70D7-42CE-9B04-BFE5BD6E275D}] => (Allow) LPort=9444
Reboot:
End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Andrei Butyrchyk
      Зашифрованы файлы с расширением .mammn
      От Andrei Butyrchyk
      Здравствуйте!
      Отработал на машине шифровальщик. До конца отработать, по всей видимости, не успел так как нет записки и не все файлы были зашифрованы.
      Есть папки с RSADecryptKey и предположительно сам файл шифровальщик.
      FRST.zip EncryptedFiles.zip
    • specxpilot
      Вирус зашифровал файлы с расширением .iw8
      От specxpilot
      Текст сообщения 
      !!!Your files have been encrypted!!!
      To recover them, please contact us via email:
      Write the ID in the email subject
      ID: E3EA701E87735CC1E8DD980E923F89D4
      Email 1: Datablack0068@gmail.com
      Email 2: Datablack0068@cyberfear.com
      Telegram: @Datablack0068

      To ensure decryption you can send 1-2 files (less than 1MB) we will decrypt it for free.
      IF 48 HOURS PASS WITHOUT YOUR ATTENTION, BRACE YOURSELF FOR A DOUBLED PRICE.
      WE DON'T PLAY AROUND HERE, TAKE THE HOURS SERIOUSLY.
    • Kyja
      Зашифровались файлы в конце расширение добавляется .iQwLRR0Oo
      От Kyja
      Добрый день поймали шифровальщик, система была полностью переустановлена на другом харде
      Все файлы в конце расширения добавляется .iQwLRR0Oo
      Так же зашифрованы файлы с архивами при попытке извлечь из них получаю ошибку о поврежденном архиве
      Во вложение файлы Addition.txt FRST.txt
      файлы с требованием и пример архива зашифрованый
      Подскажите пожалуйста возможно востановить?
      Files_1.rar
    • hafer
      Поймали шифровальщик. Расширение файлов _[ID-KTRKI_Mail-Vertalic@Tuta.io].LKH
      От hafer
      Windows Server 2012 Standart
      Зашифрованы документы, базы 1с на диске С и D
      FRST.zip
    • jserov96
      Зашифровали сервер файлами с расширением .vx2
      От jserov96
      Шифровальщик запустился скорее всего из планировщика заданий ровно в 21:00 16 ноября в субботу.  Время указано на основе найденных зашифрованных файлов. Шифровальщик нашел все скрытые диски, подключил все бекапы, зашифровал все содержимое .vhd бекапов, и сами бекапы тоже зашифровал. Сервер отключен, диск с бекапами снят, зашифрованные .vhd файлы перенесены на другой диск, чтобы попробовать вытащить файлы. Шифровальщик шифрует первый 20000h байт файла и дописывает 300h байт в огромные файлы, видимо сделано для ускорения шифрования всего диска. Особенность: выполняемые файлы не шифруются!
      vx2.rar
×
×
  • Создать...