Перейти к содержанию
Задай вопрос Алексею Тодирашу!

Ransom:Win32/Loki.AD!MTB

AVibe
 Share

Рекомендуемые сообщения

AVibe Новичок

AVibe

Опубликовано
Опубликовано (изменено)

Доброго дня.
Вирус зашифровал всё что можно и нельзя. Главное базы 1С. Тело шифратора, так же как и файлы зашифрованные и для сравнения прилагаю (в архиве в облаке. Пароль на архив - 12345 . Иначе без пароля не давал загрузить). (Так же к топику его прикрепил).
[ссылка]

Самое интересное, что на сервере SQL стоял KES - kes10sp2mr4_aes56 + Сервис пак 3-й (или 4-й, точно не помню. С базами на 30.09.2021) был установлен (с триальной лицензией. Полную лицензию на 10 комп/серверов - оплатили за день до этого (есть платёжка), но ключ не успели получить)
. На сервере было два пользователя(админа). Сервер без расшаренных рессурсов. Вирус как-то пробрался и зашифровал всё.

Есть лог несчастья: 

****************  Loki started at 06.10.2021 in 7:02:46  ****************
[INFO]  [06.10.2021 7:02:46] Error handler initialized successfully.
[INFO]  [06.10.2021 7:02:46] Opening Mutex.
[INFO]  [06.10.2021 7:02:46] Mutex locked successfully.
[INFO]  [06.10.2021 7:02:46] Loading configuration.
[INFO]  [06.10.2021 7:02:46] Reading config file content.
[INFO]  [06.10.2021 7:02:46] Configuration loaded successfully.
[INFO]  [06.10.2021 7:02:46] loading encryption keys.
[INFO]  [06.10.2021 7:02:46] Checking timer.
[INFO]  [06.10.2021 7:02:46] Copying ransomware file in computer startup.
[ERROR] [06.10.2021 7:02:46] Failed to copy program. (destination file path -> C:\Users\Alex\AppData\Roaming\winlogon.exe , error message -> Отказано в доступе по пути "C:\Users\Alex\AppData\Roaming\winlogon.exe".)
[ERROR] [06.10.2021 7:02:46] Failed to copy program. (destination file path -> C:\Windows\winlogon.exe , error message -> Отказано в доступе по пути "C:\Windows\winlogon.exe".)
[INFO]  [06.10.2021 7:02:46] Building/setting encrypted files handler.
[INFO]  [06.10.2021 7:02:46] Checking Administrator privilege availability.
[INFO]  [06.10.2021 7:02:46] Fake Windows update : disabled.
[INFO]  [06.10.2021 7:02:46] Terminating disruptive processes.
[INFO]  [06.10.2021 7:02:46] Getting process list.
[INFO]  [06.10.2021 7:02:46] Disruptive process sqlbrowser found. (PID -> 4160).
[INFO]  [06.10.2021 7:02:46] Terminating process sqlbrowser (PID -> 4160).
[INFO]  [06.10.2021 7:02:46] Process sqlbrowser terminated successfully. (PID -> 4160).
[INFO]  [06.10.2021 7:02:46] Stopping disruptive services.
[INFO]  [06.10.2021 7:02:46] Getting service list.
[INFO]  [06.10.2021 7:02:46] Disruptive service found. (name -> MSDTC)
[INFO]  [06.10.2021 7:02:46] Getting service status. (name -> MSDTC)
[INFO]  [06.10.2021 7:02:46] Stopping service MSDTC.
[INFO]  [06.10.2021 7:02:46] Disruptive service found. (name -> MSSQLSERVER)
[INFO]  [06.10.2021 7:02:46] Getting service status. (name -> MSSQLSERVER)
[INFO]  [06.10.2021 7:02:46] Service MSSQLSERVER is not started.
[INFO]  [06.10.2021 7:02:46] Disruptive service found. (name -> SQLBrowser)
[INFO]  [06.10.2021 7:02:46] Getting service status. (name -> SQLBrowser)
[INFO]  [06.10.2021 7:02:46] Service SQLBrowser is not started.
[INFO]  [06.10.2021 7:02:46] Disruptive service found. (name -> SQLSERVERAGENT)
[INFO]  [06.10.2021 7:02:46] Getting service status. (name -> SQLSERVERAGENT)
[INFO]  [06.10.2021 7:02:46] Service SQLSERVERAGENT is not started.
[INFO]  [06.10.2021 7:02:46] Disruptive service found. (name -> SQLWriter)
[INFO]  [06.10.2021 7:02:46] Getting service status. (name -> SQLWriter)
[INFO]  [06.10.2021 7:02:46] Service SQLWriter is not started.
[INFO]  [06.10.2021 7:02:46] Disruptive service found. (name -> vds)
[INFO]  [06.10.2021 7:02:46] Getting service status. (name -> vds)
[INFO]  [06.10.2021 7:02:46] Stopping service vds.
[INFO]  [06.10.2021 7:02:46] Disable windows task manager -> disabled.
[INFO]  [06.10.2021 7:02:46] Executing some important CMD commands.
[INFO]  [06.10.2021 7:02:46] Removing system restore points.
[ERROR] [06.10.2021 7:02:46] Не найдено 
[INFO]  [06.10.2021 7:02:46] Clearing user recycle bin.
[ERROR] [06.10.2021 7:02:46] Failed to empty recycle bin , error code -> -2147418113
[INFO]  [06.10.2021 7:02:46] Disabling Windows defender anti virus.
[INFO]  [06.10.2021 7:02:46] Windows defender anti-virus disabled successfully.
[INFO]  [06.10.2021 7:02:46] Applying user login note message.
[INFO]  [06.10.2021 7:02:46] User login note message applied successfully.
[INFO]  [06.10.2021 7:02:46] Applying note message in "my computer" properties.
[INFO]  [06.10.2021 7:02:46] OEM information applied successfully.
[INFO]  [06.10.2021 7:02:46] Starting encryption process.
[INFO]  [06.10.2021 7:02:46] Initializing drive "A:\" I/O thread.
[INFO]  [06.10.2021 7:02:46] Drive A:\ thread created & started successfully. (thread id -> 7400, size -> 268,6 MB , type -> Fixed).
[INFO]  [06.10.2021 7:02:46] Initializing drive C:\ I/O thread.
[INFO]  [06.10.2021 7:02:46] Drive C:\ thread started successfully. (thread id -> 4308, size -> 166,9 GB , type -> Fixed).
[INFO]  [06.10.2021 7:02:46] Initializing drive "D:\" I/O thread.
[INFO]  [06.10.2021 7:02:46] Drive D:\ thread created & started successfully. (thread id -> 9940, size -> 4,3 GB , type -> CDRom).
[INFO]  [06.10.2021 7:02:46] Initializing drive "Z:\" I/O thread.
[INFO]  [06.10.2021 7:02:46] Drive Z:\ thread created & started successfully. (thread id -> 676, size -> 229,0 GB , type -> Fixed).
[INFO]  [06.10.2021 7:02:46] Waiting for I/O threads to finish.
[INFO]  [06.10.2021 7:03:24] Changing volumes label.
[INFO]  [06.10.2021 7:03:24] Volume A:\ label changed successfuly , new volume label -> Locked by Loki.
[INFO]  [06.10.2021 7:03:24] Volume C:\ label changed successfuly , new volume label -> Locked by Loki.
[ERROR] [06.10.2021 7:03:24] Failed to set volume label , volume -> D:\ , error code -> 5
[INFO]  [06.10.2021 7:03:24] Volume Z:\ label changed successfuly , new volume label -> Locked by Loki.
[INFO]  [06.10.2021 7:03:24] Changing Windows desktop wallpaper.
[INFO]  [06.10.2021 7:03:26] Windows desktop wallpaper changed successfully.
[ERROR] [06.10.2021 7:03:26] Failed to write info file. (error message -> Отказано в доступе по пути "D:\info.hta".)
[INFO]  [06.10.2021 7:03:26] Shutdown -> disabled.
****************  Loki finished at 06.10.2021 in 7:03:26  ****************

 

loki pass 12345.rar

Изменено пользователем Sandor
Убрал ссылку на вредонос
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Увы, расшифровки этой версии вымогателя нет.

 

53 минуты назад, AVibe сказал:

На сервере было два пользователя(админа).

Вероятно был взломан пароль и остановлен антивирус вручную.

 

Если нужна помощь в очистке системы от следов вымогателя, соберите логи по правилам - Порядок оформления запроса о помощи

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

@foxnebo, здравствуйте!

Не пишите в чужой теме, в текущем разделе это нарушение правил (п.2).

Образец вымогателя ничем не поможет, увы.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Bandersnatch
      Ransom:Win64/Akira.CCDR!MTB, Ransom:Win32/Conti.AD!MTB
      От Bandersnatch
      Здравствуйте. На рабочем компе случилась печаль беда. Я так подозреваю, что вирус попал через RDP. Зашифровались как файлы офиса, так и файлы базы 1С. Ломанули админскую учетку, отрубили защиту и сделали все эти непотребства. Антивирусом были определены: Ransom:Win64/Akira.CCDR!MTB, Ransom:Win32/Conti.AD!MTB, Trojan:Win32/Tiggre!rfn. 
      Addition.txt Desktop.rar FRST.txt
    • cringemachine
      Trojan:Win64/Reflo.HNS!MTB
      От cringemachine
      Добрый день
       
      Не удается удалить зловред Trojan:Win64/Reflo.HNS!MTB.
      После удаления/лечения Защитником с последующей очисткой Исключений, зловред почти сразу появляется и создает исключения. 
       
      Ай нид хелп
    • Barrrin
      Ошибка Trojan:Win64/Reflo.HNS!MTB и выдача ошибок оперативной памяти
      От Barrrin
      Здравствуйте, позавчера компьютер просто выключился с синим экраном смерти, думал проблема в жестком диске, все проверил все хорошо, думал пройдет просто так пошел играть и просто выдало какую то ошибку что файл игры поврежден и потом опять комп выключился. На след день от антивирусника от windows пишет что обнаружен вирус Trojan:Win64/Reflo.HNS!MTB и его удалить не удается. Скачать программу касперского и показало что якобы проблемыы нет, но мне кажется что вирус сидит в оперативной п амяти, т.к плашки абсолютно хорошо работали до вчерашнего дня и вылазки этой проблемы. Помогите пожалуйста решить данную проблему 
      CollectionLog-2024.06.04-18.24.zip
    • ZloyM
      Файлы зашифрованы. В журнале угроз Ransom:Win32/Sorikrypt и Trojan:Win32/Wacatac.H!ml
      От ZloyM
      Утром при входе обнаружилось, что файлы зашифрованы, имеется письмо с требованием денег.
      В журнале угроз Ransom:Win32/Sorikrypt и Trojan:Win32/Wacatac.H!ml - запушены утром пользователями, которые точно не могли это сделать.
      От интернета отключил. Если не отключать, то примерно раз в 10 минут пользователя выкидывает и при этом с флешки удаляются все файлы и на нее помещается копия письма с требованием денег.
      CureIt и KVRT нашли только RDPWrap.
      CollectionLog-2023.10.27-13.29.zip
    • Shkine
      [РЕШЕНО] Trojan:Win32/Malgent!MTB
      От Shkine
      Доброго времени суток на днях заметил что защитник обнаружил троян. Но при попытке удалить его - ничего не происходит он снова появляется. Находил похожие от части темы, где использовали Farbar Recovery Scan Tool. Так что ко всем файлам прикладываю и его результаты. Буду благодарен за помощь.


      Addition.txt FRST.txt
×
×
  • Создать...