Перейти к содержанию

Рекомендуемые сообщения

Доброго дня, подцепил что-то новое - перерыл весь инет не нашел ничего похожего по названиям и меткам. Возможно эти данные генерируются случайно. По итогу все файлы зашифрованы, на компьютере удаленно работает пожилая бухгалтер, и восстановить данные вручную она уже не сможет. Сейчас (узнав о ситуации) - хочет увольняться, в общем все очень сложно и просто форматнуть диски и забыть - очень нужно достать данные. Резервное копирование выполнялось на второй локальный диск (интернет не позволяет делать его на удаленный сервер - копии так же зашифрованы).

К компьютеру был доступ по RDP, либо бухгалтер что-то запустила из почтовых вложений, других явных точек входа для шифровальщика не было. 

В файле-послании RESTORE_FILES_INFO.txt указан почтовый адрес dealinfrm@cock.li (пока молчат, жду ответ), и адрес сайта http://sonarmsniko2lvfu.onion/contact/dealinform/ которого нет среди доменных имен.
Диспетчер задач заблокирован - при попытке запуска пишет что файл не найден, но он есть в System32, размер файла такой же, как на обычном PC. Посторонних и скрытых папок на компьютере нет. Просто зашифровано все: тексты, фото, архивы и даже копии самописных сайтов на PHP. В интернетdealinform.rar заходит нормально, на сайт https://www.kaspersky.ru/ так же доступ есть. 

Во вложении файл Procexp.txt - это выгрузка процессов из Process Eplorer (компьютер не перезагружался - может быть что-то еще висеть из явного). Касперского не запускал - решил получить сначала от Вас рекомендации (есть активная лицензия на Kaspersky Anti-Virus (код: Q78TQ-****-****-8U7M1), антивирус не ставился, т.к. бухгалтер жаловалась что базы работают медленно. Если необходимо приобрести лицензию другого продукта Kaspersky - тут вопросов не будет. 
 

Продолжил изучать что с системой: в учетках нашел локальную учетную запись localhost с правами админа, удалить не могу - пишет что "Этому человеку нужно выполнить выход, прежде чем вы сможете удалить его учетную запись". Пользователь добавлен в удаленный доступ. Компьютер явно будут пытаться использовать для атак или еще чего. Попробую убрать этого юзера. 
Локальная оснастка заблокирована, события и прочее посмотреть не могу.

дублирую файл вложения - как-то он в теле сообщения разместился.
dealinform.rar

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Это Thanos, расшифровки нет. Но поскольку есть лицензия, создайте запрос на расшифровку.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    () [Файл не подписан] C:\Users\localhost\Desktop\svchost\svchost.exe
    File: C:\Users\localhost\Desktop\svchost\svchost.exe
    File: C:\Users\Adm\AppData\Roaming\Ground.exe
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    Startup: C:\Users\Adm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mystartup.lnk [2021-04-24]
    ShortcutTarget: mystartup.lnk -> C:\Users\Adm\AppData\Local\Temp\RESTORE_FILES_INFO.txt () [Файл не подписан]
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    C:\Users\Adm\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
    C:\Users\Adm\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
    C:\Users\Adm\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
    C:\Users\Adm\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
    CHR HKU\S-1-5-21-3528414272-356184853-3987300583-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
    2021-04-25 08:40 - 2021-04-25 08:40 - 000001915 _____ C:\Users\Adm\Desktop\RESTORE_FILES_INFO.hta
    2021-04-25 08:40 - 2021-04-25 08:40 - 000001210 _____ C:\WINDOWS\RESTORE_FILES_INFO.txt
    2021-04-25 08:40 - 2021-04-25 08:40 - 000001210 _____ C:\Users\Adm\Desktop\RESTORE_FILES_INFO.txt
    2021-04-25 08:40 - 2021-04-25 08:40 - 000001210 _____ C:\RESTORE_FILES_INFO.txt
    2021-04-26 12:07 - 2021-04-26 12:07 - 000000000 ____D C:\Users\Adm\AppData\Roaming\Process Hacker 2
    FirewallRules: [{8F7A56A8-EB47-4105-8595-474E9CB1AB33}] => (Allow) LPort=475
    FirewallRules: [{044227BB-767F-4E64-BC0A-7F511244DA1A}] => (Allow) LPort=475
    FirewallRules: [{0533AE70-8F8B-4DEC-AE1A-5999CA6C7DF1}] => (Allow) C:\Users\Adm\AppData\Local\Temp\DriverPack-2019092705117\tools\aria2c.exe => Нет файла
    FirewallRules: [TCP Query User{F6449945-BA7E-4934-A9FE-7666DD9B4B04}C:\users\admin\desktop\soft\wahiver64.exe] => (Allow) C:\users\admin\desktop\soft\wahiver64.exe => Нет файла
    FirewallRules: [UDP Query User{ADB3716F-CAD9-40C5-A535-DD0C61E2B7F2}C:\users\admin\desktop\soft\wahiver64.exe] => (Allow) C:\users\admin\desktop\soft\wahiver64.exe => Нет файла
    FirewallRules: [TCP Query User{A931034C-552B-4045-9000-3578DA007646}C:\users\admin\desktop\soft\wasp.exe] => (Allow) C:\users\admin\desktop\soft\wasp.exe => Нет файла
    FirewallRules: [UDP Query User{B6043889-592A-43A5-8E3E-F3045CBA0DA5}C:\users\admin\desktop\soft\wasp.exe] => (Allow) C:\users\admin\desktop\soft\wasp.exe => Нет файла
    FirewallRules: [TCP Query User{B57A4B28-932D-4486-828B-E47EC4E67A97}C:\users\admin\desktop\soft\waspwing.exe] => (Allow) C:\users\admin\desktop\soft\waspwing.exe => Нет файла
    FirewallRules: [UDP Query User{CB784D46-00A7-486F-A686-7AC06EBB9FCF}C:\users\admin\desktop\soft\waspwing.exe] => (Allow) C:\users\admin\desktop\soft\waspwing.exe => Нет файла
    Reboot:
    End::

 

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

31 минуту назад, Profnight сказал:

К компьютеру был доступ по RDP

Пароль на него смените и пересмотрите всем ли пользователям нужны права администратора.

Ссылка на сообщение
Поделиться на другие сайты

dealinform.rar
обновил архив

сканирование выполнил - результаты в архиве, но ребут из сценария убрал. хочу зайти другую локальную учетку без перезагрузки и посмотреть что там происходит.

Ссылка на сообщение
Поделиться на другие сайты
39 минут назад, Sandor сказал:

Программа создаст лог-файл (Fixlog.txt)

Не нашел в архиве.

Всё-таки перезагрузите компьютер. Что такого вы хотите найти в другой учетке?

Ссылка на сообщение
Поделиться на другие сайты

под учеткой локалхоста был запущен брут, который судя по всему так же продолжал работать по взлому RDP. файлы с рабочего стола во вложении. в истории файлов есть ссылки на использование файлов (то что в папке localhost - это уже я создавал

Masscan GUI.rar

svchost.rar

вот что было запущено и сам рабочий стол:
 

2.thumb.png.2dbca54bc47ed03271c8533511635445.png

3.png

4.png

1.png

Ссылка на сообщение
Поделиться на другие сайты

Давайте договоримся - вы либо продолжаете самостоятельно, либо выполняете рекомендации. По результатам из отчета Fixlog.txt должен быть ещё один скрипт.

Ссылка на сообщение
Поделиться на другие сайты
3 минуты назад, Sandor сказал:

Не нашел в архиве.

Всё-таки перезагрузите компьютер. Что такого вы хотите найти в другой учетке?

выше разместил то, что нашел. сейчас еще попробую порыться, может что удастся найти среди удаленных файлов

2 минуты назад, Sandor сказал:

Давайте договоримся - вы либо продолжаете самостоятельно, либо выполняете рекомендации. По результатам из отчета Fixlog.txt должен быть ещё один скрипт.

не спорю - предыдущее сообщение увидел только что, поэтому давайте по рекомендациям. перезагружусь и там посмотрю что будет с файлом Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты
Только что, Sandor сказал:

Если вы не собираетесь выполнять скрипт из сообщения №2, сообщите. Закроем тему.

перезапустил, жду пока завершится, по готовности отправлю результат.
все что было сделано выше - делалось в ознакомительных целях. считал что для Вас любая информация может быть полезной.

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Sandor сказал:

Всё это итак было видно по начальным логам.

 

FRST64.rar

во вложении логи
 


из того, что делалось еще на компе - создана папка пользователя admin, в ней находится исходник брута, что был запущен под localhost и файлы паролей. все бы хорошо, но они тоже зашифрованы, как и все текстовые. если что-то из этого нужно - могу сбросить для изучения:
 

вот список "рабочей" папки, относящейся к взлому компа и шифрованию. 

6.png

7.png.d2be13bb9edf6bbc6e4575d4ebedcc94.png

ответ от шифровальщиков

Изменено пользователем Profnight
Ссылка на сообщение
Поделиться на другие сайты

 

нарыл папочку Keys и RSA с ключами. по дате создания совпадает с датой зашифровки файлов. надеюсь будет полезным

 

Crypto.rar

 

просмотрел логи, полученные согласно пункта 2 (FRST64.rar) = ничего существенного не увидел (может не знаю куда смотреть), ну кроме того, что открыт 475 порт, это возможно порт hasp-ключа от крипто-про или подобного. в остальном, как мне кажется - логи особой смысловой нагрузки для расшифровки не несут. 
ключи RSA, что скинул в предыдущем посте - так же скорее всего не помогут, т.к. они по всей видимости генерируются самой операционкой, возможно как-то это относится к смене пароля операцинки (судя по датам), но к шифрованию отношения не имеют
сканирование диска на предмет удаленных файлов - так же безрезультатно.

можно сказать, что общий осмотр закончен, жду Ваших рекомендаций по дальнейшим действиям. файлы и настройки я не менял и не трогал (ну кроме как те, что относятся к бруту и доступу к PC - эти хвосты конечно же зачистил)
 

Ссылка на сообщение
Поделиться на другие сайты
16 часов назад, Sandor сказал:

Создали? Ответы по возможности расшифровки ждите там. Тут я уже говорил, ничем не поможем.

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Sandor сказал:

Создали? Ответы по возможности расшифровки ждите там. Тут я уже говорил, ничем не поможем.

Создал. Все в рамках рекомендаций, которые условился выполнять. 

Я так понимаю, тут тему можно закрывать?

 

Ссылка на сообщение
Поделиться на другие сайты
1 минуту назад, Profnight сказал:

Создал

Результат запроса сообщите здесь, пожалуйста.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • umkasuper
      От umkasuper
      Добрый день
      Некий зловред паканул файлы 1Ски.
      Оставил вот такое приглашение рядом с запакованными файлами https://disk.yandex.ru/d/KNvANLeKv1cp1w
      И вот пример запакованного файла https://disk.yandex.ru/d/eq9Ge0YigC1cFg
      Не подскажете есть ли возможность расшифровать?
      Большое спасибо за любую помощь.
    • superjeksan
      От superjeksan
      Здравствуйте! 
      взломали пк по RDP. зашифровали важные файли . попытался я найти шифровальщика . но не смог найти, либо не там искал.
      лог и файлы зашифрованные в архиве
       
      файлы шифров.rar
    • AlexeyINV
      От AlexeyINV
      Добрый день!
       
      Просим помощи с расшифровкой вируса вымогателя с адресом secure822@msgsafe.io
      Сервер был взломан по RDP и был скомпрометирован пароль администратора.
      Обнаружено: HEUR:Trojan.Multi.Crypmod.gen
      И файл Worker-0.exe
      Просьба помочь с данной проблемой.
      File_crypto.rar Addition.txt FRST.txt
    • HorrorRain
      От HorrorRain
      Прилетел шифровальщик и зашифровал  важный файлы. Скорей всего из-за не сложного пароля администратора., есть ли шанс их восстановить
      Addition.txt Files.zip FRST.txt
    • Владимир29112021
      От Владимир29112021
      Добрый день! Помогите расшифровать файлы зашифрованный вирусом вымогателем. Во вложении архив с зашифрованными файлами и инструкция от вымогателя
      file.zip
×
×
  • Создать...