Перейти к содержанию

Просим помощи с расшифровкой

Boforta
 Share

Рекомендуемые сообщения

Boforta Новичок

Boforta

Опубликовано
  • Автор
Опубликовано (изменено)

Добрый день.

Наш сервер был атакован.

После атаки практически все файлы зашифрованы.

Был еще обнаружен Win32.Neshta.A

Прилагаем логи сканирования и пару зараженных файлов в архиве

Addition.txt FRST.txt зашифрованные файлы.rar

Изменено пользователем Boforta
Ссылка на комментарий
Поделиться на другие сайты
  • Sandor changed the title to Просим помощи с расшифровкой
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, расшифровки этой версии нет.

 

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CreateRestorePoint:
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13919 2021-01-08] () [File not signed]
HKLM\...\Run: [C:\Users\Admin\AppData\Roaming\Info.hta] => C:\Users\Admin\AppData\Roaming\Info.hta [13919 2021-01-08] () [File not signed]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
IFEO\dismHost.exe: [Debugger] *
IFEO\EOSNOTIFY.EXE: [Debugger] *
IFEO\InstallAgent.exe: [Debugger] *
IFEO\MusNotification.exe: [Debugger] C:\Windows\system32\systray.exe
IFEO\MUSNOTIFICATIONUX.EXE: [Debugger] *
IFEO\MusNotifyIcon.exe: [Debugger] C:\Windows\system32\systray.exe
IFEO\remsh.exe: [Debugger] *
IFEO\SIHClient.exe: [Debugger] *
IFEO\UpdateAssistant.exe: [Debugger] *
IFEO\UPFC.EXE: [Debugger] *
IFEO\UsoClient.exe: [Debugger] *
IFEO\WaaSMedic.exe: [Debugger] *
IFEO\WaasMedicAgent.exe: [Debugger] *
IFEO\Windows10Upgrade.exe: [Debugger] *
IFEO\WINDOWS10UPGRADERAPP.EXE: [Debugger] *
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\2b.exe [2021-01-08] () [File not signed]
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-01-08] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-01-08] () [File not signed]
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION
Task: {CBC66827-BF6A-4EF0-9B43-53E78A906F0F} - System32\Tasks\RDP Wrapper Autoupdate => cmd.exe /C "C:\Program Files\RDP Wrapper\autoupdate.bat" -log <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-21-4043373954-1667179921-1984268539-500\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
R3 TermService; C:\Program Files\RDP Wrapper\rdpwrap.dll [116736 2020-11-27] (Stas'M Corp.) [File not signed] <==== ATTENTION (no ServiceDLL)
2021-01-08 01:29 - 2021-01-08 01:29 - 000013919 _____ C:\Windows\system32\Info.hta
2021-01-08 01:29 - 2021-01-08 01:29 - 000013919 _____ C:\Users\Admin\AppData\Roaming\Info.hta
2021-01-08 01:29 - 2021-01-08 01:29 - 000000212 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2021-01-08 01:29 - 2021-01-08 01:29 - 000000212 _____ C:\Users\Admin\Desktop\FILES ENCRYPTED.txt
2021-01-08 01:29 - 2021-01-08 01:29 - 000000212 _____ C:\FILES ENCRYPTED.txt
2021-01-08 01:29 - 2020-11-27 16:36 - 000000000 ____D C:\Program Files\RDP Wrapper
2021-01-08 01:29 - 2020-11-27 16:34 - 000000000 ____D C:\RDPWrap-v1.6.2
FirewallRules: [{F34E43E5-D5A0-456E-91EF-6FFE83B2D584}] => (Allow) C:\Users\user\Downloads\AnyDesk.exe => No File
FirewallRules: [{8CE8D3C5-D6BF-461D-9FFF-355ACEA06136}] => (Allow) C:\Users\user\Downloads\AnyDesk.exe => No File
FirewallRules: [{172E3430-1FD1-46AD-B986-039D0AE91A89}] => (Allow) C:\Users\user\Downloads\AnyDesk.exe => No File
FirewallRules: [{54AEE4EC-64E6-4AAD-BDD4-40C738357DAB}] => (Allow) C:\Users\user\Downloads\AnyDesk.exe => No File
FirewallRules: [{84DA6479-BF6F-4EC6-B795-C83CCE8B8324}] => (Allow) C:\Users\user\Downloads\AnyDesk.exe => No File
FirewallRules: [{20CDD537-903E-47F4-8AD9-ED3755324418}] => (Allow) C:\Users\user\Downloads\AnyDesk.exe => No File
FirewallRules: [{AD26A10C-2EF5-4C84-85F7-013306149478}] => (Allow) LPort=3389
Reboot:
End::

     


  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • gin
      Помощь в расшифровке файлов
      От gin
      Добрый день! Просьба помочь расшифровать файлы
      логи FRST.zip записка.zip примеры файлов.zip
    • ArAREM
      Помощь в восстановлении и расшифровке файлов Real.Berserk2000@mailum.com
      От ArAREM
      Здравствуйте!
      Около двух месяцев назад на корпоративный сервер организации попал вирус-шифровальщик. Все базы данных 1C и важные файлы были зашифрованы. На данный момент уже проведены все мероприятия для восстановления работоспособности и налаживания безопасности, однако после этого инцидента остался жесткий диск с сервера с зашифрованными на нём файлами. Исходя из всех проведенных проверок - самого вирус-шифровальщика на нём уже нет. Файл FRST не смогу предоставить, так как накопитель уже не используется на сервере и по сути просто лежит у обслуживающей организации ожидая выхода дешифратора.
      В свою очередь изначально в качестве одного из "условий" сделки, которую мы, естественно, не стали проводить после получения необходимого файла, нам удалось убедить злоумышленников расшифровать один из наших файлов для подтверждения возможности расшифровки. Возможно это как-то поможет в подборе дешифратора.
      В архиве будут представлены: текст с требованием, а также два других зашифрованных файла малого размера (архив Files).
      Хотел также прикрепить дополнительно образец расшифрованного файла базы данных Excel ДО и ПОСЛЕ расшифровки, но каждый из них весит по 3 мб, поэтому форма заполнения обращения не позволяет прикрепить их оба. В связи с чем в архиве (Sample) прикреплю уже расшифрованный файл. Если дополнительно понадобится версия файла ДО расшифровки, то предоставлю отдельным сообщением.
      Files KP.zip Sample.zip
    • Leo_Pahomov
      расшифровка файлов
      От Leo_Pahomov
      Все файлы зашифрованы типом файла YAKRDXSNS
      DESKTOP-5B9SCJG_2025-02-21_17-43-06_v4.99.9v x64.7z
      Сообщение от модератора thyrex Темы объединены
    • Leo_Pahomov
      расшифровка файлов
      От Leo_Pahomov
      Все файлы зашифрованы типом файла YAKRDXSNS
      DESKTOP-5B9SCJG_2025-02-21_17-43-06_v4.99.9v x64.7z
      Сообщение от модератора thyrex Темы объединены
    • Hendehog
      Расшифровка Отчета
      От Hendehog
      Добрый день.
      Коллеги можете расшифровать, что это за вирус, какого типа, и как он мог проникнуть в систему?
      У нас через него пытались крупную сумму через банк увести, в этот момент пользователю на экране показывали якобы обновление винды идет...))
      Файл KVRT DATA приложить полный не могу, если надо загружу на яндекс диск.
      Спасибо.
      Reports.rar
×
×
  • Создать...