Перейти к содержанию

HEUR:Trojan-Ransom.win32.generic

Юрий_Колбин

Автор Юрий_Колбин
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Юрий_Колбин

Юрий_Колбин

Опубликовано
Опубликовано (изменено)

Desktop.zip

 

Организация поймала шифровальщик.

Каспер был благополучно остановлен и запущен kavremover.
Расскажите о перспективах расшифровки.
Пароль 12345

Есть так-же образцы этой заразы, если поможет, могу выложить.

Изменено пользователем Юрий_Колбин
thyrex

thyrex

Опубликовано
Опубликовано

Увы, никаких. Иначе бы в статье по ссылке об этом было указано.

Юрий_Колбин

Юрий_Колбин

Опубликовано
  • Автор
Опубликовано (изменено)

Я анализирую историю заражений, и у меня есть подозрение, что Каспер не ловит одну из модификаций этого трояна.

Предыстория за день до шифрования. Принесли файлы с документами на второй комп, открыли (при работающем каспере), он не сругался, он не закрылся, он не удалился, и его в логах чисто и нет срабатываний, а на утро файлы тоже оказались зашифрованные этой же ночью. (windows 100% чистый, был установлен 3 дня назад). Компы в одной сети. PDP был закрыт.

Изменено пользователем Юрий_Колбин
Юрий_Колбин

Юрий_Колбин

Опубликовано
  • Автор
Опубликовано

Вообщем, на основе глубокого анализа произошедшего сформировалась гипотеза: 

  • есть первоисточник, который детектится как Ransom, чаще всего заражение происходит на том устройстве, где нет антивирусной защиты;
  • есть "дочка", с ключом шифрования, полученным им от "мамки", в этой дочке так-же содержится дата "взрыва", совпадающая с датой взрыва "у мамки". Распространяется она через flash или общие сетевые ресурсы, и которая не детектится Каспером, при запуске делает своё грязное дело на всех компах, куда успела распространится, и в дату "срабатывания" выполняет самоликвидирование. Работает, возможно, как скрипт, а не как приложение, поэтому не определяется. При этом дочка не встраивается в автозагрузку, не создаёт tasks, не копируется в профили пользователей, не подменяет на компах фон рабочего стола, а просто шифрует файлы неким ключом и удаляется.

Вопрос к экспертам, если я найду эту тварь "дочернюю" (через глубокое сканирование удалённых файлов), возможно ли из неё извлечь ключ шифрования?

 

Готовы заплатить (вам, а не мошенникам) за решение задачи по дешифровке в пределах вменяемой суммы.

mike 1

mike 1

Опубликовано
Опубликовано
19 часов назад, Юрий_Колбин сказал:

Я анализирую историю заражений, и у меня есть подозрение, что Каспер не ловит одну из модификаций этого трояна.

Какая точная версия АВПО стояла? Включен ли модуль Мониторинг системы в момент заражения? Шифрованию подверглись только сетевые папки? 

 

18 часов назад, Юрий_Колбин сказал:

Вопрос к экспертам, если я найду эту тварь "дочернюю" (через глубокое сканирование удалённых файлов), возможно ли из неё извлечь ключ шифрования?

А смысл, если мастер ключ AES накрыт публичным ключом RSA большой длины? 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • enke
      Шифровальщик Loki
      Автор enke
      Уважаемые коллеги, добрый день!
      Взломали терминальный сервер (ориентировочно 12-13 декабря), снесли штатный антивирус (DrWeb) и запустили вирус шифровальщик.
      После этого уже 15 декабря сервер был недоступен, приходится грузится сторонними утилитами (LiveCD). Коллеги из DrWeb помочь не смогли...
      Прикладываю архив с 2-мя зашифрованными файлами, текстом о выкупе и лог работы программы Farbar Recovery Scan Tool.
      Буду крайне признателен за любую обнадеживающую информацию. Была зашифрована крайне важная база 1С (бэкапа увы нет...)
       
      С уважением, Дмитрий.
      222.zip
    • Andrey698
      Шифровальщик widows server Loki locker
      Автор Andrey698
      Добрый день, вчера во второй половине дня подключился через RDP к серверу и увидел голубой экран с сообщением что данные зашифрованы. Сервер перегрузил в безопасный режим, создал отчеты с помощью FRST.  Файлы прикрепляю, прошу содействия. 
      Addition.txt FRST.txt Restore-My-Files.txt
    • Forza Александр
      Шифровальщик BlackBit
      Автор Forza Александр
      Добрый день, сегодня зашифровали комп, 2 диска по 500 ГБ. в Архиве FRST 



      Blackbit.zip
    • SimTor
      ПК зашифрован Loki Locker через rdp.
      Автор SimTor
      Addition.txtRestore-My-Files.txtfile.zipFRST.txt
      Добрый день!
      Уехал в поездку, оставил для работы себе удалёнку по рдп. Взломали, хотя пароль был более-менее надёжный. В УЗ войти невозможно, cmd в средствах восстановления не открыть, пришлось через Strelec загружаться, через редактор реестра прописывать в загрузку cmd и запускать FRST. Также, в реестре нашёл ключи full и public, если это поможет - пришлю.
      Не нашёл, что это запрещено правилами форума, так что готов платить специалистам, но не мошенникам.
      Насколько понял, таймер висит до 31.10, если помощь займёт дольше - хотелось бы его продлить сначала.

      Если восстановить без участия мошенников нереально - так и напишите, я посёрфил, встречал разные мнения.
    • B1ack_Viking
      Есть кто сталкивался с шифровальщиком BlackBit? Кто-то сможет помочь с расшифровкой?
      Автор B1ack_Viking
      Никакой вводной информации как это случилось и почему - нет, к сожалению..
      [Decrypt.rz@zohomail.com][C85BF26C]1С_Архив(1).xml.7z
×
×
  • Создать...