Перейти к содержанию

Зашифрованы файлы. В расширении присутствует "[databack44@tuta.io].TEREN"


Рекомендуемые сообщения

Здравствуйте.

На моём компьютере поработал шифровальщик. К именам зашифрованных файлов после их расширения добавился текст "[databack44@tuta.io].TEREN". В каждой папке появился файл "FILES ENCRYPTED.txt" со следующим содержимым:

 

"all your data has been locked us
You want to return?
Write email databack44@tuta.io or decrypt24@gytmail.com
"

 

Баннер с требованием выкупа был в файле "info.hta".

На машине стоял Kaspersky Small Office Security 6(19.0.0.1088(m)), но когда я подключился к компьютеру, антивирус не был запущен, после перезагрузки Касперский запустился и выдал обнаружение зараженных файлов svchost.exe и 1svhostru.exe, определил их как "Virus.Win32.Neshta.a". 

Приложил к письму 2 архива:

1. "FRST.rar". В нём результат работы Farbar Recovery Scan Tool.

2. "encrypted_files.rar". В нём 2 зашифрованных вордовских файла и их оригиналы до шифрования.

3. "virus.rar". В нем svchost.com и 1svhost.exe

encrypted_files.rar frst.rar Virus.rar

Ссылка на сообщение
Поделиться на другие сайты

Выполните правила оформления запроса о помощи https://forum.kasperskyclub.ru/topic/65731-pravila-oformleniya-zaprosa-o-pomoschi/

 

Ссылка на сообщение
Поделиться на другие сайты
11 минут назад, kmscom сказал:

Выполните правила оформления запроса о помощи https://forum.kasperskyclub.ru/topic/65731-pravila-oformleniya-zaprosa-o-pomoschi/

 

Добавил в архив encrypted_files.rar записку о выкупе. Или что-то еще не так, заполнял заявку согласно правилам.

encrypted_files.rar

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

К сожалению, это Dharma (.cezar Family) или crysis по терминологии ЛК. Расшифровки нет.

 

Помощь в очистке системы от следов нужна или планируете переустановку?

Ссылка на сообщение
Поделиться на другие сайты
19 часов назад, Sandor сказал:

Здравствуйте!

 

К сожалению, это Dharma (.cezar Family) или crysis по терминологии ЛК. Расшифровки нет.

 

Помощь в очистке системы от следов нужна или планируете переустановку?

Здравствуйте! да помощь не помешала бы.

Ссылка на сообщение
Поделиться на другие сайты
Цитата

1234567 (S-1-5-21-2969460774-3974240490-1212742114-1016 - Administrator - Enabled) => C:\Users\1234567
admin (S-1-5-21-2969460774-3974240490-1212742114-1011 - Administrator - Enabled) => C:\Users\admin
test (S-1-5-21-2969460774-3974240490-1212742114-1021 - Administrator - Enabled) => C:\Users\test.RSKRDP

Перечисленные администраторы - все ваши?

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    
    HKLM\...\Run: [1svhostru.exe] => C:\Windows\System32\1svhostru.exe [94720 2020-09-07] () [File not signed]
    HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13922 2020-09-08] () [File not signed]
    HKLM\...\Run: [C:\Users\test.RSKRDP\AppData\Roaming\Info.hta] => C:\Users\test.RSKRDP\AppData\Roaming\Info.hta [13922 2020-09-08] () [File not signed]
    HKLM\...\Run: [1svhostru.exe] => C:\Windows\System32\1svhostru.exe [94720 2020-09-07] () [File not signed]
    HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13922 2020-09-08] () [File not signed]
    HKLM\...\Run: [C:\Users\test.RSKRDP\AppData\Roaming\Info.hta] => C:\Users\test.RSKRDP\AppData\Roaming\Info.hta [13922 2020-09-08] () [File not signed]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-09-08] () [File not signed]
    Startup: C:\Users\test.RSKRDP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1svhostru.exe [2020-09-08] () [File not signed]
    Startup: C:\Users\test.RSKRDP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-09-08] () [File not signed]
    2020-09-08 08:26 - 2020-09-08 08:26 - 000013922 _____ C:\Windows\system32\Info.hta
    2020-09-08 08:26 - 2020-09-08 08:26 - 000013922 _____ C:\Users\test.RSKRDP\AppData\Roaming\Info.hta
    2020-09-08 08:25 - 2020-09-08 08:25 - 000000220 _____ C:\Users\test.RSKRDP\Desktop\FILES ENCRYPTED.txt
    2020-09-08 08:25 - 2020-09-08 08:25 - 000000220 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2020-09-08 08:25 - 2020-09-08 08:25 - 000000220 _____ C:\FILES ENCRYPTED.txt
    2020-09-07 21:25 - 2020-09-07 21:25 - 000094720 _____ C:\Windows\system32\1svhostru.exe
    2020-09-07 21:24 - 2020-09-07 21:31 - 003054580 _____ C:\Users\test.RSKRDP\Desktop\processhacker-2.39-setup (4).exe.id-15564FAC.[databack44@tuta.io].TEREN
    2020-09-07 21:24 - 2020-09-07 21:29 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
    2020-09-07 21:24 - 2020-09-07 21:26 - 000000000 ____D C:\Program Files\Process Hacker 2
    2020-09-07 21:24 - 2020-08-30 03:31 - 000094720 _____ C:\Users\test.RSKRDP\Desktop\1svhostru.exe
    2020-09-07 16:45 - 2020-09-07 16:45 - 000041472 _____ C:\Windows\svchost.com
    AlternateDataStreams: C:\Users\admin\Desktop\1c.bmp.id-15564FAC.[databack44@tuta.io].TEREN:3or4kl4x13tuuug3Byamue2s4b [93]
    AlternateDataStreams: C:\Users\admin\Desktop\1c.bmp.id-15564FAC.[databack44@tuta.io].TEREN:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
    AlternateDataStreams: C:\Users\admin\Desktop\1c1.bmp.id-15564FAC.[databack44@tuta.io].TEREN:3or4kl4x13tuuug3Byamue2s4b [93]
    AlternateDataStreams: C:\Users\admin\Desktop\1c1.bmp.id-15564FAC.[databack44@tuta.io].TEREN:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
    HKLM\...\exefile\shell\open\command: C:\Windows\svchost.com "%1" %* <==== ATTENTION
    FirewallRules: [{495EE35C-BDB4-4796-99B1-ACD5C9388BEE}] => (Allow) LPort=475
    FirewallRules: [{C74991C2-77EC-4B65-9490-1EF9798C1A0C}] => (Allow) LPort=475
    FirewallRules: [{4188C7EA-3092-4C3D-83D3-909F96442C21}] => (Allow) C:\Users\admin\Downloads\AnyDesk.exe => No File
    FirewallRules: [{BC8F7EC7-08F6-4347-873B-E7FBAF4E32E8}] => (Allow) C:\Users\admin\Downloads\AnyDesk.exe => No File
    FirewallRules: [{362EE76A-3803-4CA0-A9B2-2B9627DDB831}] => (Allow) C:\Users\admin\Downloads\AnyDesk.exe => No File
    FirewallRules: [{28434244-36B4-49E5-B82C-E240DA0AA960}] => (Allow) C:\Users\admin\Downloads\AnyDesk.exe => No File
    FirewallRules: [{0EC9EE42-584A-4DEF-BF6C-869E5AFF845B}] => (Allow) LPort=9422
    FirewallRules: [{E1213DA1-7F04-4C19-9129-0EBAEDE25366}] => (Allow) LPort=9245
    FirewallRules: [{81CDF397-FBC5-4182-863C-3416CAAEDDB5}] => (Allow) LPort=9246
    FirewallRules: [{020AC430-9AA7-4B10-A1CA-27BF2E79EDA2}] => (Allow) LPort=9247
    FirewallRules: [{95BC7C77-CC2B-414C-9D1D-31B1F32C17F7}] => (Allow) LPort=3702
    FirewallRules: [{EB042C45-A470-4AFE-B65D-05FDBB065020}] => (Allow) LPort=9244
    FirewallRules: [{466E4EB5-70D7-42CE-9B04-BFE5BD6E275D}] => (Allow) LPort=9444
    Reboot:
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Близнец
      Здравствуйте!
      Подцепили вчера точно такого же шифровальщика.
      Видать через RDP.
      База 1С накрылась. Есть ли какой-нибудь шанс спасти данные?
      Addition.txt FRST.txt Зашифрованные файлы.zip
    • От megabublik
      Windows Server 2008, схватили шифровальщик который зашифровал все файлы и попросил денег:( Требуется помощь в решении проблемы. Пользователи на этой системе фактически не работают, видимо просочился через RDP или еще какую-нибудь уязвимость...
       

      CollectionLog-2020.10.29-11.48.zip
    • От sanyko
      Добрый день. Был заражён рабочий ПК и зашифрованы бОльшая часть файлов. Если есть возможность расшифровать файлы буду очень признателен за информацию. Есть оригинальные и зашифрованные файлы. Прикрепляю их к посту. Спасибо.files.rar
    • От rsvkondr
      Здравствуйте! поймали шифровальщик harma. На компьютере стоял Kaspersky Endpoint Security 11. Все файлы зашифровались. Просим помощи.
       
      Virus_system32.7z LOG.rar Зараженные файлы.rar
    • От msk.dmit
      Здравствуйте.
      Файлы на компьютере оказались зашифрованы, сможете помочь?
      Файл в архиве прикладываю.
      Спасибо. 
      С уважением, Дмитрий
      Счет на оплату № 328 от 24 августа 2020 г.pdf.id-F07CBFFB.[lpe-cve@usa.com].zip
×
×
  • Создать...