Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Ransom:Win32/Loki.AD!MTB

AVibe
 Поделиться

Рекомендуемые сообщения

AVibe

AVibe

Опубликовано
Опубликовано (изменено)

Доброго дня.
Вирус зашифровал всё что можно и нельзя. Главное базы 1С. Тело шифратора, так же как и файлы зашифрованные и для сравнения прилагаю (в архиве в облаке. Пароль на архив - 12345 . Иначе без пароля не давал загрузить). (Так же к топику его прикрепил).
[ссылка]

Самое интересное, что на сервере SQL стоял KES - kes10sp2mr4_aes56 + Сервис пак 3-й (или 4-й, точно не помню. С базами на 30.09.2021) был установлен (с триальной лицензией. Полную лицензию на 10 комп/серверов - оплатили за день до этого (есть платёжка), но ключ не успели получить)
. На сервере было два пользователя(админа). Сервер без расшаренных рессурсов. Вирус как-то пробрался и зашифровал всё.

Есть лог несчастья: 

****************  Loki started at 06.10.2021 in 7:02:46  ****************
[INFO]  [06.10.2021 7:02:46] Error handler initialized successfully.
[INFO]  [06.10.2021 7:02:46] Opening Mutex.
[INFO]  [06.10.2021 7:02:46] Mutex locked successfully.
[INFO]  [06.10.2021 7:02:46] Loading configuration.
[INFO]  [06.10.2021 7:02:46] Reading config file content.
[INFO]  [06.10.2021 7:02:46] Configuration loaded successfully.
[INFO]  [06.10.2021 7:02:46] loading encryption keys.
[INFO]  [06.10.2021 7:02:46] Checking timer.
[INFO]  [06.10.2021 7:02:46] Copying ransomware file in computer startup.
[ERROR] [06.10.2021 7:02:46] Failed to copy program. (destination file path -> C:\Users\Alex\AppData\Roaming\winlogon.exe , error message -> Отказано в доступе по пути "C:\Users\Alex\AppData\Roaming\winlogon.exe".)
[ERROR] [06.10.2021 7:02:46] Failed to copy program. (destination file path -> C:\Windows\winlogon.exe , error message -> Отказано в доступе по пути "C:\Windows\winlogon.exe".)
[INFO]  [06.10.2021 7:02:46] Building/setting encrypted files handler.
[INFO]  [06.10.2021 7:02:46] Checking Administrator privilege availability.
[INFO]  [06.10.2021 7:02:46] Fake Windows update : disabled.
[INFO]  [06.10.2021 7:02:46] Terminating disruptive processes.
[INFO]  [06.10.2021 7:02:46] Getting process list.
[INFO]  [06.10.2021 7:02:46] Disruptive process sqlbrowser found. (PID -> 4160).
[INFO]  [06.10.2021 7:02:46] Terminating process sqlbrowser (PID -> 4160).
[INFO]  [06.10.2021 7:02:46] Process sqlbrowser terminated successfully. (PID -> 4160).
[INFO]  [06.10.2021 7:02:46] Stopping disruptive services.
[INFO]  [06.10.2021 7:02:46] Getting service list.
[INFO]  [06.10.2021 7:02:46] Disruptive service found. (name -> MSDTC)
[INFO]  [06.10.2021 7:02:46] Getting service status. (name -> MSDTC)
[INFO]  [06.10.2021 7:02:46] Stopping service MSDTC.
[INFO]  [06.10.2021 7:02:46] Disruptive service found. (name -> MSSQLSERVER)
[INFO]  [06.10.2021 7:02:46] Getting service status. (name -> MSSQLSERVER)
[INFO]  [06.10.2021 7:02:46] Service MSSQLSERVER is not started.
[INFO]  [06.10.2021 7:02:46] Disruptive service found. (name -> SQLBrowser)
[INFO]  [06.10.2021 7:02:46] Getting service status. (name -> SQLBrowser)
[INFO]  [06.10.2021 7:02:46] Service SQLBrowser is not started.
[INFO]  [06.10.2021 7:02:46] Disruptive service found. (name -> SQLSERVERAGENT)
[INFO]  [06.10.2021 7:02:46] Getting service status. (name -> SQLSERVERAGENT)
[INFO]  [06.10.2021 7:02:46] Service SQLSERVERAGENT is not started.
[INFO]  [06.10.2021 7:02:46] Disruptive service found. (name -> SQLWriter)
[INFO]  [06.10.2021 7:02:46] Getting service status. (name -> SQLWriter)
[INFO]  [06.10.2021 7:02:46] Service SQLWriter is not started.
[INFO]  [06.10.2021 7:02:46] Disruptive service found. (name -> vds)
[INFO]  [06.10.2021 7:02:46] Getting service status. (name -> vds)
[INFO]  [06.10.2021 7:02:46] Stopping service vds.
[INFO]  [06.10.2021 7:02:46] Disable windows task manager -> disabled.
[INFO]  [06.10.2021 7:02:46] Executing some important CMD commands.
[INFO]  [06.10.2021 7:02:46] Removing system restore points.
[ERROR] [06.10.2021 7:02:46] Не найдено 
[INFO]  [06.10.2021 7:02:46] Clearing user recycle bin.
[ERROR] [06.10.2021 7:02:46] Failed to empty recycle bin , error code -> -2147418113
[INFO]  [06.10.2021 7:02:46] Disabling Windows defender anti virus.
[INFO]  [06.10.2021 7:02:46] Windows defender anti-virus disabled successfully.
[INFO]  [06.10.2021 7:02:46] Applying user login note message.
[INFO]  [06.10.2021 7:02:46] User login note message applied successfully.
[INFO]  [06.10.2021 7:02:46] Applying note message in "my computer" properties.
[INFO]  [06.10.2021 7:02:46] OEM information applied successfully.
[INFO]  [06.10.2021 7:02:46] Starting encryption process.
[INFO]  [06.10.2021 7:02:46] Initializing drive "A:\" I/O thread.
[INFO]  [06.10.2021 7:02:46] Drive A:\ thread created & started successfully. (thread id -> 7400, size -> 268,6 MB , type -> Fixed).
[INFO]  [06.10.2021 7:02:46] Initializing drive C:\ I/O thread.
[INFO]  [06.10.2021 7:02:46] Drive C:\ thread started successfully. (thread id -> 4308, size -> 166,9 GB , type -> Fixed).
[INFO]  [06.10.2021 7:02:46] Initializing drive "D:\" I/O thread.
[INFO]  [06.10.2021 7:02:46] Drive D:\ thread created & started successfully. (thread id -> 9940, size -> 4,3 GB , type -> CDRom).
[INFO]  [06.10.2021 7:02:46] Initializing drive "Z:\" I/O thread.
[INFO]  [06.10.2021 7:02:46] Drive Z:\ thread created & started successfully. (thread id -> 676, size -> 229,0 GB , type -> Fixed).
[INFO]  [06.10.2021 7:02:46] Waiting for I/O threads to finish.
[INFO]  [06.10.2021 7:03:24] Changing volumes label.
[INFO]  [06.10.2021 7:03:24] Volume A:\ label changed successfuly , new volume label -> Locked by Loki.
[INFO]  [06.10.2021 7:03:24] Volume C:\ label changed successfuly , new volume label -> Locked by Loki.
[ERROR] [06.10.2021 7:03:24] Failed to set volume label , volume -> D:\ , error code -> 5
[INFO]  [06.10.2021 7:03:24] Volume Z:\ label changed successfuly , new volume label -> Locked by Loki.
[INFO]  [06.10.2021 7:03:24] Changing Windows desktop wallpaper.
[INFO]  [06.10.2021 7:03:26] Windows desktop wallpaper changed successfully.
[ERROR] [06.10.2021 7:03:26] Failed to write info file. (error message -> Отказано в доступе по пути "D:\info.hta".)
[INFO]  [06.10.2021 7:03:26] Shutdown -> disabled.
****************  Loki finished at 06.10.2021 in 7:03:26  ****************

 

loki pass 12345.rar

Изменено пользователем Sandor
Убрал ссылку на вредонос
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Увы, расшифровки этой версии вымогателя нет.

 

53 минуты назад, AVibe сказал:

На сервере было два пользователя(админа).

Вероятно был взломан пароль и остановлен антивирус вручную.

 

Если нужна помощь в очистке системы от следов вымогателя, соберите логи по правилам - Порядок оформления запроса о помощи

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • zneft2006
      Шифровальщик coded все зашифровал!
      Автор zneft2006
      Шифровальщик coded все зашифровал
      CollectionLog-2017.12.07-12.00.zip
    • automir14
      на компьютере были зашифрованы все файлы с расширением *.crypt
      Автор automir14
      плиз нужна помощь на компе зашифрованы файлы почты, офисные документы с расширением ПИСЬМО.jpg.crypt
    • Artem Petrov
      Возможно ли расшифровать (.deryptme)
      Автор Artem Petrov
      День добрый. У нас в компании произошел инцидент. Провели проверку при помощи Dr.Web CureIt! по результатам проведения которой был обнаружен Trojan.Encoder.16665. 
      Возможно ли расшифровать наши данные?
       
      Прикладываю: 
      Логи автоматического сборщика логов;
      Пример зашифрованного файла; Отчет Dr.Web CureIt!; Требования злоумышленников.
       
      CollectionLog-2017.12.04-14.20.zip
      Desktop.7z
      123.7z
    • SHooRoP
      Файлы зашифрованы .deryptme
      Автор SHooRoP
      Здравствуйте.
      Файлы на компьютере бухгалтера зашифрованы .deryptme.
       
      Первые зашифрованные файлы датированы 27.11.2017 16:40 - 16:41 и судя по логам компа далее его выключили. Бухгалтер ничего не заподозрил, касперский промолчал (по словам бухгалтера) (на машинке стоит ksos17.0.0.611ru-ru_full). Далее ничего не подозревая включили комп 29.11.2017 в 11:19, касперский (по словам бухгалтера) снова молчит, когда поняли что не открывается ничего прошло порядка 30-40 минут и позвали сисадмина. Благо сеть была выдернута усердной шваброй уборщицы и эти полчаса сетевые диски были недоступны. Пришел, увидел, касперский был отключен!!! Пролечил установленным антивирусом, проверил дополнительно Kaspersky Virus Removal Tool 2015. Сделал логи по инструкции, прикрепляю. Откуда был схвачен шифровальщик не знаю, на все вопросы получаю один ответ - ничего не трогали ничего не нажимали.
       
      И еще вопрос, есть шанс расшифровать базы 1с с помощью техподдержки Касперского или можно рвать волосы по периметру?
       
      Заранее благодарю за ответ и возможную помощь.
      CollectionLog-2017.11.29-16.49.zip
    • GodILike
      Зашифровались файлы и получили расширение crypt
      Автор GodILike
      Здравствуйте, все файлы зашифровались и приобрели расширение crypt хотелось бы расшифровать их. Прикрепил один из зашифрованных файлов и его оригинал. Что делать в данном случае?

      Ещё в каждой папке появился файл с названием how_to_back_files , но он к сожалению не хочет прикрепляться там ссылка с требованиями вымогателей.
      CollectionLog-2017.11.30-17.48.zip
      Зашифрованный файл.rar
      Файл оригинал.rar
×
×
  • Создать...