Перейти к содержанию

Рекомендуемые сообщения

Доброго дня, подцепил что-то новое - перерыл весь инет не нашел ничего похожего по названиям и меткам. Возможно эти данные генерируются случайно. По итогу все файлы зашифрованы, на компьютере удаленно работает пожилая бухгалтер, и восстановить данные вручную она уже не сможет. Сейчас (узнав о ситуации) - хочет увольняться, в общем все очень сложно и просто форматнуть диски и забыть - очень нужно достать данные. Резервное копирование выполнялось на второй локальный диск (интернет не позволяет делать его на удаленный сервер - копии так же зашифрованы).

К компьютеру был доступ по RDP, либо бухгалтер что-то запустила из почтовых вложений, других явных точек входа для шифровальщика не было. 

В файле-послании RESTORE_FILES_INFO.txt указан почтовый адрес dealinfrm@cock.li (пока молчат, жду ответ), и адрес сайта http://sonarmsniko2lvfu.onion/contact/dealinform/ которого нет среди доменных имен.
Диспетчер задач заблокирован - при попытке запуска пишет что файл не найден, но он есть в System32, размер файла такой же, как на обычном PC. Посторонних и скрытых папок на компьютере нет. Просто зашифровано все: тексты, фото, архивы и даже копии самописных сайтов на PHP. В интернетdealinform.rar заходит нормально, на сайт https://www.kaspersky.ru/ так же доступ есть. 

Во вложении файл Procexp.txt - это выгрузка процессов из Process Eplorer (компьютер не перезагружался - может быть что-то еще висеть из явного). Касперского не запускал - решил получить сначала от Вас рекомендации (есть активная лицензия на Kaspersky Anti-Virus (код: Q78TQ-****-****-8U7M1), антивирус не ставился, т.к. бухгалтер жаловалась что базы работают медленно. Если необходимо приобрести лицензию другого продукта Kaspersky - тут вопросов не будет. 
 

Продолжил изучать что с системой: в учетках нашел локальную учетную запись localhost с правами админа, удалить не могу - пишет что "Этому человеку нужно выполнить выход, прежде чем вы сможете удалить его учетную запись". Пользователь добавлен в удаленный доступ. Компьютер явно будут пытаться использовать для атак или еще чего. Попробую убрать этого юзера. 
Локальная оснастка заблокирована, события и прочее посмотреть не могу.

дублирую файл вложения - как-то он в теле сообщения разместился.
dealinform.rar

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Это Thanos, расшифровки нет. Но поскольку есть лицензия, создайте запрос на расшифровку.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    () [Файл не подписан] C:\Users\localhost\Desktop\svchost\svchost.exe
    File: C:\Users\localhost\Desktop\svchost\svchost.exe
    File: C:\Users\Adm\AppData\Roaming\Ground.exe
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    Startup: C:\Users\Adm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mystartup.lnk [2021-04-24]
    ShortcutTarget: mystartup.lnk -> C:\Users\Adm\AppData\Local\Temp\RESTORE_FILES_INFO.txt () [Файл не подписан]
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    C:\Users\Adm\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
    C:\Users\Adm\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
    C:\Users\Adm\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
    C:\Users\Adm\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
    CHR HKU\S-1-5-21-3528414272-356184853-3987300583-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
    2021-04-25 08:40 - 2021-04-25 08:40 - 000001915 _____ C:\Users\Adm\Desktop\RESTORE_FILES_INFO.hta
    2021-04-25 08:40 - 2021-04-25 08:40 - 000001210 _____ C:\WINDOWS\RESTORE_FILES_INFO.txt
    2021-04-25 08:40 - 2021-04-25 08:40 - 000001210 _____ C:\Users\Adm\Desktop\RESTORE_FILES_INFO.txt
    2021-04-25 08:40 - 2021-04-25 08:40 - 000001210 _____ C:\RESTORE_FILES_INFO.txt
    2021-04-26 12:07 - 2021-04-26 12:07 - 000000000 ____D C:\Users\Adm\AppData\Roaming\Process Hacker 2
    FirewallRules: [{8F7A56A8-EB47-4105-8595-474E9CB1AB33}] => (Allow) LPort=475
    FirewallRules: [{044227BB-767F-4E64-BC0A-7F511244DA1A}] => (Allow) LPort=475
    FirewallRules: [{0533AE70-8F8B-4DEC-AE1A-5999CA6C7DF1}] => (Allow) C:\Users\Adm\AppData\Local\Temp\DriverPack-2019092705117\tools\aria2c.exe => Нет файла
    FirewallRules: [TCP Query User{F6449945-BA7E-4934-A9FE-7666DD9B4B04}C:\users\admin\desktop\soft\wahiver64.exe] => (Allow) C:\users\admin\desktop\soft\wahiver64.exe => Нет файла
    FirewallRules: [UDP Query User{ADB3716F-CAD9-40C5-A535-DD0C61E2B7F2}C:\users\admin\desktop\soft\wahiver64.exe] => (Allow) C:\users\admin\desktop\soft\wahiver64.exe => Нет файла
    FirewallRules: [TCP Query User{A931034C-552B-4045-9000-3578DA007646}C:\users\admin\desktop\soft\wasp.exe] => (Allow) C:\users\admin\desktop\soft\wasp.exe => Нет файла
    FirewallRules: [UDP Query User{B6043889-592A-43A5-8E3E-F3045CBA0DA5}C:\users\admin\desktop\soft\wasp.exe] => (Allow) C:\users\admin\desktop\soft\wasp.exe => Нет файла
    FirewallRules: [TCP Query User{B57A4B28-932D-4486-828B-E47EC4E67A97}C:\users\admin\desktop\soft\waspwing.exe] => (Allow) C:\users\admin\desktop\soft\waspwing.exe => Нет файла
    FirewallRules: [UDP Query User{CB784D46-00A7-486F-A686-7AC06EBB9FCF}C:\users\admin\desktop\soft\waspwing.exe] => (Allow) C:\users\admin\desktop\soft\waspwing.exe => Нет файла
    Reboot:
    End::

 

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

31 минуту назад, Profnight сказал:

К компьютеру был доступ по RDP

Пароль на него смените и пересмотрите всем ли пользователям нужны права администратора.

Ссылка на сообщение
Поделиться на другие сайты

dealinform.rar
обновил архив

сканирование выполнил - результаты в архиве, но ребут из сценария убрал. хочу зайти другую локальную учетку без перезагрузки и посмотреть что там происходит.

Ссылка на сообщение
Поделиться на другие сайты
39 минут назад, Sandor сказал:

Программа создаст лог-файл (Fixlog.txt)

Не нашел в архиве.

Всё-таки перезагрузите компьютер. Что такого вы хотите найти в другой учетке?

Ссылка на сообщение
Поделиться на другие сайты

под учеткой локалхоста был запущен брут, который судя по всему так же продолжал работать по взлому RDP. файлы с рабочего стола во вложении. в истории файлов есть ссылки на использование файлов (то что в папке localhost - это уже я создавал

Masscan GUI.rar

svchost.rar

вот что было запущено и сам рабочий стол:
 

2.thumb.png.2dbca54bc47ed03271c8533511635445.png

3.png

4.png

1.png

Ссылка на сообщение
Поделиться на другие сайты

Давайте договоримся - вы либо продолжаете самостоятельно, либо выполняете рекомендации. По результатам из отчета Fixlog.txt должен быть ещё один скрипт.

Ссылка на сообщение
Поделиться на другие сайты
3 минуты назад, Sandor сказал:

Не нашел в архиве.

Всё-таки перезагрузите компьютер. Что такого вы хотите найти в другой учетке?

выше разместил то, что нашел. сейчас еще попробую порыться, может что удастся найти среди удаленных файлов

2 минуты назад, Sandor сказал:

Давайте договоримся - вы либо продолжаете самостоятельно, либо выполняете рекомендации. По результатам из отчета Fixlog.txt должен быть ещё один скрипт.

не спорю - предыдущее сообщение увидел только что, поэтому давайте по рекомендациям. перезагружусь и там посмотрю что будет с файлом Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты
Только что, Sandor сказал:

Если вы не собираетесь выполнять скрипт из сообщения №2, сообщите. Закроем тему.

перезапустил, жду пока завершится, по готовности отправлю результат.
все что было сделано выше - делалось в ознакомительных целях. считал что для Вас любая информация может быть полезной.

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Sandor сказал:

Всё это итак было видно по начальным логам.

 

FRST64.rar

во вложении логи
 


из того, что делалось еще на компе - создана папка пользователя admin, в ней находится исходник брута, что был запущен под localhost и файлы паролей. все бы хорошо, но они тоже зашифрованы, как и все текстовые. если что-то из этого нужно - могу сбросить для изучения:
 

вот список "рабочей" папки, относящейся к взлому компа и шифрованию. 

6.png

7.png.d2be13bb9edf6bbc6e4575d4ebedcc94.png

ответ от шифровальщиков

Изменено пользователем Profnight
Ссылка на сообщение
Поделиться на другие сайты

 

нарыл папочку Keys и RSA с ключами. по дате создания совпадает с датой зашифровки файлов. надеюсь будет полезным

 

Crypto.rar

 

просмотрел логи, полученные согласно пункта 2 (FRST64.rar) = ничего существенного не увидел (может не знаю куда смотреть), ну кроме того, что открыт 475 порт, это возможно порт hasp-ключа от крипто-про или подобного. в остальном, как мне кажется - логи особой смысловой нагрузки для расшифровки не несут. 
ключи RSA, что скинул в предыдущем посте - так же скорее всего не помогут, т.к. они по всей видимости генерируются самой операционкой, возможно как-то это относится к смене пароля операцинки (судя по датам), но к шифрованию отношения не имеют
сканирование диска на предмет удаленных файлов - так же безрезультатно.

можно сказать, что общий осмотр закончен, жду Ваших рекомендаций по дальнейшим действиям. файлы и настройки я не менял и не трогал (ну кроме как те, что относятся к бруту и доступу к PC - эти хвосты конечно же зачистил)
 

Ссылка на сообщение
Поделиться на другие сайты
16 часов назад, Sandor сказал:

Создали? Ответы по возможности расшифровки ждите там. Тут я уже говорил, ничем не поможем.

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Sandor сказал:

Создали? Ответы по возможности расшифровки ждите там. Тут я уже говорил, ничем не поможем.

Создал. Все в рамках рекомендаций, которые условился выполнять. 

Я так понимаю, тут тему можно закрывать?

 

Ссылка на сообщение
Поделиться на другие сайты
1 минуту назад, Profnight сказал:

Создал

Результат запроса сообщите здесь, пожалуйста.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От IlyaP
      Здравствуйте, к нам проник шифровальщик .secure, возможно осталось тело вируса, по крайне мере злоумышленник оставил или забыл свой файл на одной машине, подскажите можно ли как то расшифровать? И куда прислать файл что злоумышленник оставил ? Название файла Dlya_Seti_Secure.exe 
      files.zip FRST.txt Addition.txt
    • От Qwaide
      Первый симптом был при подключении через RDP (компьютер доступен в интернете по белому адресу), произошло отключение будто кто-то подключился к удаленному ПК, при попытке подключится повторно отправилось предупреждение что я не могу подключится к ПК, т.к. другой (неизвестный мне Phil) пользователь подключен у компьютеру (справочно - windows 10 pro, насколько помню только один пользователь может подключен одновременно к ПК). Спустя пару минут все же смог подключится. 
      Позднее обнаружил что действительно появился пользователь Phil (в папке C:\Users ). 
       
      После перезагрузки ПК не было блокировки экрана, но:
      Windows defender перестал работать - "Параметрами защиты от вирусов и угроз управляет ваша организация." 
      Точки восстановления были удалены.
      Файлы зашифрованы (к файлам добавлено ".secure[gowrite@airmail.cc]"
      Появился текстовик - RESTORE_FILES_INFO
       
      Cure.It при проверке нашел один зараженный файл, Virus Removal Tool в данный момент проводит проверку. 
      Пробовал некоторые дешифровщики в том числе Касперского, не помогли решить проблему.
    • От PhaetonX
      Добрый вечер! Сегодня днем сотрудница офиса обратилась с проблемой о том, что файлы pdf перестали открываться. Подключившись по rdp выяснил, что нарушено сопоставление файлов с adobe reader и в памяти "висит" несколько запущенных процессов. Сопоставление вручную решило проблему. Попутно заметил, что установленное антивирусное решение стороннего производителя не активно поскольку закончился пробный период. Переустановил его на бесплатную версию kaspersky security cloud и запустил проверку. Четырьмя часами позже вновь подключился по удаленному рабочему столу и был шокирован увиденным. Абсолютно все файлы зашифрованы. Система Windows 7, обновлений по понятным причинам нет. Так же доподлинно не известно есть ли резервные копии всего этого.... Очень надеемся на Вашу помощь, спасибо!
      Зашифрованные файлы.zip
      Addition.txt FRST.txt
    • От Калинин Евгений
      Помогите расшифровать файлы. Все файлы во вложении
      Addition.txt FRST.txt RESTORE_FILES_INFO.txt u_ex170709.log.[ID-FE4528A8].[john2wick@tuta.io].zip
    • От АlexM
      Здравствуйте.
      Поймали шифратор, зашифровано почти все. Помогите пожалуйста подлечиться и есть ли шанс на дешифровку?
      07042021.zip Addition.txt FRST.txt
×
×
  • Создать...