Перейти к содержанию

Ransom:Win32/Loki.AD!MTB

AVibe
 Поделиться

Рекомендуемые сообщения

AVibe

AVibe

Опубликовано
Опубликовано (изменено)

Доброго дня.
Вирус зашифровал всё что можно и нельзя. Главное базы 1С. Тело шифратора, так же как и файлы зашифрованные и для сравнения прилагаю (в архиве в облаке. Пароль на архив - 12345 . Иначе без пароля не давал загрузить). (Так же к топику его прикрепил).
[ссылка]

Самое интересное, что на сервере SQL стоял KES - kes10sp2mr4_aes56 + Сервис пак 3-й (или 4-й, точно не помню. С базами на 30.09.2021) был установлен (с триальной лицензией. Полную лицензию на 10 комп/серверов - оплатили за день до этого (есть платёжка), но ключ не успели получить)
. На сервере было два пользователя(админа). Сервер без расшаренных рессурсов. Вирус как-то пробрался и зашифровал всё.

Есть лог несчастья: 

****************  Loki started at 06.10.2021 in 7:02:46  ****************
[INFO]  [06.10.2021 7:02:46] Error handler initialized successfully.
[INFO]  [06.10.2021 7:02:46] Opening Mutex.
[INFO]  [06.10.2021 7:02:46] Mutex locked successfully.
[INFO]  [06.10.2021 7:02:46] Loading configuration.
[INFO]  [06.10.2021 7:02:46] Reading config file content.
[INFO]  [06.10.2021 7:02:46] Configuration loaded successfully.
[INFO]  [06.10.2021 7:02:46] loading encryption keys.
[INFO]  [06.10.2021 7:02:46] Checking timer.
[INFO]  [06.10.2021 7:02:46] Copying ransomware file in computer startup.
[ERROR] [06.10.2021 7:02:46] Failed to copy program. (destination file path -> C:\Users\Alex\AppData\Roaming\winlogon.exe , error message -> Отказано в доступе по пути "C:\Users\Alex\AppData\Roaming\winlogon.exe".)
[ERROR] [06.10.2021 7:02:46] Failed to copy program. (destination file path -> C:\Windows\winlogon.exe , error message -> Отказано в доступе по пути "C:\Windows\winlogon.exe".)
[INFO]  [06.10.2021 7:02:46] Building/setting encrypted files handler.
[INFO]  [06.10.2021 7:02:46] Checking Administrator privilege availability.
[INFO]  [06.10.2021 7:02:46] Fake Windows update : disabled.
[INFO]  [06.10.2021 7:02:46] Terminating disruptive processes.
[INFO]  [06.10.2021 7:02:46] Getting process list.
[INFO]  [06.10.2021 7:02:46] Disruptive process sqlbrowser found. (PID -> 4160).
[INFO]  [06.10.2021 7:02:46] Terminating process sqlbrowser (PID -> 4160).
[INFO]  [06.10.2021 7:02:46] Process sqlbrowser terminated successfully. (PID -> 4160).
[INFO]  [06.10.2021 7:02:46] Stopping disruptive services.
[INFO]  [06.10.2021 7:02:46] Getting service list.
[INFO]  [06.10.2021 7:02:46] Disruptive service found. (name -> MSDTC)
[INFO]  [06.10.2021 7:02:46] Getting service status. (name -> MSDTC)
[INFO]  [06.10.2021 7:02:46] Stopping service MSDTC.
[INFO]  [06.10.2021 7:02:46] Disruptive service found. (name -> MSSQLSERVER)
[INFO]  [06.10.2021 7:02:46] Getting service status. (name -> MSSQLSERVER)
[INFO]  [06.10.2021 7:02:46] Service MSSQLSERVER is not started.
[INFO]  [06.10.2021 7:02:46] Disruptive service found. (name -> SQLBrowser)
[INFO]  [06.10.2021 7:02:46] Getting service status. (name -> SQLBrowser)
[INFO]  [06.10.2021 7:02:46] Service SQLBrowser is not started.
[INFO]  [06.10.2021 7:02:46] Disruptive service found. (name -> SQLSERVERAGENT)
[INFO]  [06.10.2021 7:02:46] Getting service status. (name -> SQLSERVERAGENT)
[INFO]  [06.10.2021 7:02:46] Service SQLSERVERAGENT is not started.
[INFO]  [06.10.2021 7:02:46] Disruptive service found. (name -> SQLWriter)
[INFO]  [06.10.2021 7:02:46] Getting service status. (name -> SQLWriter)
[INFO]  [06.10.2021 7:02:46] Service SQLWriter is not started.
[INFO]  [06.10.2021 7:02:46] Disruptive service found. (name -> vds)
[INFO]  [06.10.2021 7:02:46] Getting service status. (name -> vds)
[INFO]  [06.10.2021 7:02:46] Stopping service vds.
[INFO]  [06.10.2021 7:02:46] Disable windows task manager -> disabled.
[INFO]  [06.10.2021 7:02:46] Executing some important CMD commands.
[INFO]  [06.10.2021 7:02:46] Removing system restore points.
[ERROR] [06.10.2021 7:02:46] Не найдено 
[INFO]  [06.10.2021 7:02:46] Clearing user recycle bin.
[ERROR] [06.10.2021 7:02:46] Failed to empty recycle bin , error code -> -2147418113
[INFO]  [06.10.2021 7:02:46] Disabling Windows defender anti virus.
[INFO]  [06.10.2021 7:02:46] Windows defender anti-virus disabled successfully.
[INFO]  [06.10.2021 7:02:46] Applying user login note message.
[INFO]  [06.10.2021 7:02:46] User login note message applied successfully.
[INFO]  [06.10.2021 7:02:46] Applying note message in "my computer" properties.
[INFO]  [06.10.2021 7:02:46] OEM information applied successfully.
[INFO]  [06.10.2021 7:02:46] Starting encryption process.
[INFO]  [06.10.2021 7:02:46] Initializing drive "A:\" I/O thread.
[INFO]  [06.10.2021 7:02:46] Drive A:\ thread created & started successfully. (thread id -> 7400, size -> 268,6 MB , type -> Fixed).
[INFO]  [06.10.2021 7:02:46] Initializing drive C:\ I/O thread.
[INFO]  [06.10.2021 7:02:46] Drive C:\ thread started successfully. (thread id -> 4308, size -> 166,9 GB , type -> Fixed).
[INFO]  [06.10.2021 7:02:46] Initializing drive "D:\" I/O thread.
[INFO]  [06.10.2021 7:02:46] Drive D:\ thread created & started successfully. (thread id -> 9940, size -> 4,3 GB , type -> CDRom).
[INFO]  [06.10.2021 7:02:46] Initializing drive "Z:\" I/O thread.
[INFO]  [06.10.2021 7:02:46] Drive Z:\ thread created & started successfully. (thread id -> 676, size -> 229,0 GB , type -> Fixed).
[INFO]  [06.10.2021 7:02:46] Waiting for I/O threads to finish.
[INFO]  [06.10.2021 7:03:24] Changing volumes label.
[INFO]  [06.10.2021 7:03:24] Volume A:\ label changed successfuly , new volume label -> Locked by Loki.
[INFO]  [06.10.2021 7:03:24] Volume C:\ label changed successfuly , new volume label -> Locked by Loki.
[ERROR] [06.10.2021 7:03:24] Failed to set volume label , volume -> D:\ , error code -> 5
[INFO]  [06.10.2021 7:03:24] Volume Z:\ label changed successfuly , new volume label -> Locked by Loki.
[INFO]  [06.10.2021 7:03:24] Changing Windows desktop wallpaper.
[INFO]  [06.10.2021 7:03:26] Windows desktop wallpaper changed successfully.
[ERROR] [06.10.2021 7:03:26] Failed to write info file. (error message -> Отказано в доступе по пути "D:\info.hta".)
[INFO]  [06.10.2021 7:03:26] Shutdown -> disabled.
****************  Loki finished at 06.10.2021 in 7:03:26  ****************

 

loki pass 12345.rar

Изменено пользователем Sandor
Убрал ссылку на вредонос
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Увы, расшифровки этой версии вымогателя нет.

 

53 минуты назад, AVibe сказал:

На сервере было два пользователя(админа).

Вероятно был взломан пароль и остановлен антивирус вручную.

 

Если нужна помощь в очистке системы от следов вымогателя, соберите логи по правилам - Порядок оформления запроса о помощи

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Andrey698
      Шифровальщик widows server Loki locker
      Автор Andrey698
      Добрый день, вчера во второй половине дня подключился через RDP к серверу и увидел голубой экран с сообщением что данные зашифрованы. Сервер перегрузил в безопасный режим, создал отчеты с помощью FRST.  Файлы прикрепляю, прошу содействия. 
      Addition.txt FRST.txt Restore-My-Files.txt
    • rashid47
      Шифровальщик *.system32x
      Автор rashid47
      Шифровальщик зашифровал файлы, сделал расширение system32x. Виндовс переустановили, так как нужно было работать. Помогите с расшифровкой 
      Новая папка (2).rar
    • Alexey2020
      как дешифровать файлы .crypted
      Автор Alexey2020
      Доброго времени!
      Просьба помочь какой утилитой можно дешифровать испорченные вирусом файлы?
      Просканировал утилитой Virus Removal Tool...угроз не обнаружилось...
    • Андрей Кривуля
      DOCM формат файлов. Восстановление системы из образа до заражения.
      Автор Андрей Кривуля
      Здравствуйте, уважаемая поддержка. 
       
      Сегодня столкнулся с этой проблемой, когда все файлы на жестком диске переименовались и в окончании стоит .DOCM. 
       
      Проверил систему на вирусы - как написано в инструкции.
       
      Затем установил SpyHack 5 и удалил с помощью него все эти шифровальщики или что там может быть =) Было найдено 150 троянов, в том числе 2 шифровальщика под именем malware Globeimposter и .DOCM Ransomware
       
      Все почистил, удалил. Нашел источник заражения - удалил. Был файл с торрента - программы, которую хотел попробовать перед тем, как покупать. 
       
      Затем запустил AutoLogger и сформировал отчет, который прикрепил сюда. 
       
      Теперь вопросы =)
       
      1. Могу ли я восстановить утерянную информацию с помощью Data Recovery Pro ? Я так понял, в дешифровке 1тб информации нет смысла? =) 
      2. Если у меня был образ системы на жестком диске, который подвергся шифрованию - WindowsImageBackup папка, из которой я обычно восстанавливаю систему в прежний вид со всем установленным софтом - есть ли риск заражения DOCM снова, если я сейчас восстановлю с этого образа систему? Просто я проверил эту папку, там DOCM нет, да и Ведь образ создавался задолго до заражения. Или все-таки лучше установить заново все и отформатировать все жесткие диски? =)
      3. Будет ли достаточно SpyHack 5 для защиты системы от новых шифровальщиков, если вдруг их подхвачу? Просто самое интересное, что за 10 лет работы - это первый случай со мной. 
      4. Как защитить систему и избежать нового заражения? =) 

      Благодарю и хорошего Вам дня. 
      С Уважением, Андрей.
      CollectionLog-2019.06.23-13.17.zip
    • satone667
      [РЕШЕНО] globeimposter 2.0
      Автор satone667
      Добрый день, поймали сегодня. Расширения файлов *.[dsupport@protonmail.com], сообщение "How to restore your files.hta". В аттаче файл шифрованный и нешифрованный. Есть и exe-ник вируса. Чистка и удаление, способ заражения не интересует, Интересует потенциальная возможность расшифровки.
      1.zip
×
×
  • Создать...