Перейти к содержанию

Рекомендуемые сообщения

Desktop.zip

 

Организация поймала шифровальщик.

Каспер был благополучно остановлен и запущен kavremover.
Расскажите о перспективах расшифровки.
Пароль 12345

Есть так-же образцы этой заразы, если поможет, могу выложить.

Изменено пользователем Юрий_Колбин
Ссылка на сообщение
Поделиться на другие сайты

Я анализирую историю заражений, и у меня есть подозрение, что Каспер не ловит одну из модификаций этого трояна.

Предыстория за день до шифрования. Принесли файлы с документами на второй комп, открыли (при работающем каспере), он не сругался, он не закрылся, он не удалился, и его в логах чисто и нет срабатываний, а на утро файлы тоже оказались зашифрованные этой же ночью. (windows 100% чистый, был установлен 3 дня назад). Компы в одной сети. PDP был закрыт.

Изменено пользователем Юрий_Колбин
Ссылка на сообщение
Поделиться на другие сайты

Вообщем, на основе глубокого анализа произошедшего сформировалась гипотеза: 

  • есть первоисточник, который детектится как Ransom, чаще всего заражение происходит на том устройстве, где нет антивирусной защиты;
  • есть "дочка", с ключом шифрования, полученным им от "мамки", в этой дочке так-же содержится дата "взрыва", совпадающая с датой взрыва "у мамки". Распространяется она через flash или общие сетевые ресурсы, и которая не детектится Каспером, при запуске делает своё грязное дело на всех компах, куда успела распространится, и в дату "срабатывания" выполняет самоликвидирование. Работает, возможно, как скрипт, а не как приложение, поэтому не определяется. При этом дочка не встраивается в автозагрузку, не создаёт tasks, не копируется в профили пользователей, не подменяет на компах фон рабочего стола, а просто шифрует файлы неким ключом и удаляется.

Вопрос к экспертам, если я найду эту тварь "дочернюю" (через глубокое сканирование удалённых файлов), возможно ли из неё извлечь ключ шифрования?

 

Готовы заплатить (вам, а не мошенникам) за решение задачи по дешифровке в пределах вменяемой суммы.

Ссылка на сообщение
Поделиться на другие сайты
19 часов назад, Юрий_Колбин сказал:

Я анализирую историю заражений, и у меня есть подозрение, что Каспер не ловит одну из модификаций этого трояна.

Какая точная версия АВПО стояла? Включен ли модуль Мониторинг системы в момент заражения? Шифрованию подверглись только сетевые папки? 

 

18 часов назад, Юрий_Колбин сказал:

Вопрос к экспертам, если я найду эту тварь "дочернюю" (через глубокое сканирование удалённых файлов), возможно ли из неё извлечь ключ шифрования?

А смысл, если мастер ключ AES накрыт публичным ключом RSA большой длины? 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Paul99
      От Paul99
      HISTORY: We were hit with a ransom attack. My daily backups were deleted by the attackers. The backups were situated on a NAS (Synology RS814+) I have sent this appliance into a professional Data Recovery Company (WeRecoverData) in the hopes the files on it can be recovered. If this works I can restore my entire network shares and folders from an Arcserve UDP backup that is current to the date of the attack.  I also have an off-site copy of the restoration files on an external USB drive.  Unfortunately this was created using Arcserve's File Copy job, and my data being backed up was taking longer and longer to complete copy job. Data as a whole was growing incredibly large fast, and network files were making for 19+ days to create a copy job over the network. I used this copy to carry out of premises. That copy has a last successful copy job of backup files that is 6.5 months old.  My hope is that there is a known decryption tool for the medlock7 ransomware. I have access to my server and all encrypted files are still intact. My question, can I restore/repair these files without paying the attackers?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из раздела "Интервью с экспертами «Лаборатории Касперского»".
    • Avrora21
      От Avrora21
      Здравствуйте! ПК поражен шифровальщиком Loki locker (Miracle11@keemail.me Miiracle11@yandex.com).
      Есть ли возможность расшифровать пораженные файлы?
      Прилагаю архив с зашифрованными файлами и запиской о выкупе.
      E.7z
    • tim_spirit
      От tim_spirit
      Здравствуйте! Поймали шифровальщика Trojan-Ransom.MSIL.Crypmod.gen, предположительно, заражение произошло через открытый порт RDP (был включён удалённый рабочий стол с простым паролем).
      Система не переустанавливалась, запустили KVRT, папку карантина сохранили, могу отправить при необходимости.
      Зашифрованные файлы и оригинальная копия одного из файлов.rar Addition.txt FRST.txt Shortcut.txt
    • AVibe
      От AVibe
      Доброго дня.
      Вирус зашифровал всё что можно и нельзя. Главное базы 1С. Тело шифратора, так же как и файлы зашифрованные и для сравнения прилагаю (в архиве в облаке. Пароль на архив - 12345 . Иначе без пароля не давал загрузить). (Так же к топику его прикрепил).
      [ссылка]

      Самое интересное, что на сервере SQL стоял KES - kes10sp2mr4_aes56 + Сервис пак 3-й (или 4-й, точно не помню. С базами на 30.09.2021) был установлен (с триальной лицензией. Полную лицензию на 10 комп/серверов - оплатили за день до этого (есть платёжка), но ключ не успели получить)
      . На сервере было два пользователя(админа). Сервер без расшаренных рессурсов. Вирус как-то пробрался и зашифровал всё.

      Есть лог несчастья:
      **************** Loki started at 06.10.2021 in 7:02:46 **************** [INFO] [06.10.2021 7:02:46] Error handler initialized successfully. [INFO] [06.10.2021 7:02:46] Opening Mutex. [INFO] [06.10.2021 7:02:46] Mutex locked successfully. [INFO] [06.10.2021 7:02:46] Loading configuration. [INFO] [06.10.2021 7:02:46] Reading config file content. [INFO] [06.10.2021 7:02:46] Configuration loaded successfully. [INFO] [06.10.2021 7:02:46] loading encryption keys. [INFO] [06.10.2021 7:02:46] Checking timer. [INFO] [06.10.2021 7:02:46] Copying ransomware file in computer startup. [ERROR] [06.10.2021 7:02:46] Failed to copy program. (destination file path -> C:\Users\Alex\AppData\Roaming\winlogon.exe , error message -> Отказано в доступе по пути "C:\Users\Alex\AppData\Roaming\winlogon.exe".) [ERROR] [06.10.2021 7:02:46] Failed to copy program. (destination file path -> C:\Windows\winlogon.exe , error message -> Отказано в доступе по пути "C:\Windows\winlogon.exe".) [INFO] [06.10.2021 7:02:46] Building/setting encrypted files handler. [INFO] [06.10.2021 7:02:46] Checking Administrator privilege availability. [INFO] [06.10.2021 7:02:46] Fake Windows update : disabled. [INFO] [06.10.2021 7:02:46] Terminating disruptive processes. [INFO] [06.10.2021 7:02:46] Getting process list. [INFO] [06.10.2021 7:02:46] Disruptive process sqlbrowser found. (PID -> 4160). [INFO] [06.10.2021 7:02:46] Terminating process sqlbrowser (PID -> 4160). [INFO] [06.10.2021 7:02:46] Process sqlbrowser terminated successfully. (PID -> 4160). [INFO] [06.10.2021 7:02:46] Stopping disruptive services. [INFO] [06.10.2021 7:02:46] Getting service list. [INFO] [06.10.2021 7:02:46] Disruptive service found. (name -> MSDTC) [INFO] [06.10.2021 7:02:46] Getting service status. (name -> MSDTC) [INFO] [06.10.2021 7:02:46] Stopping service MSDTC. [INFO] [06.10.2021 7:02:46] Disruptive service found. (name -> MSSQLSERVER) [INFO] [06.10.2021 7:02:46] Getting service status. (name -> MSSQLSERVER) [INFO] [06.10.2021 7:02:46] Service MSSQLSERVER is not started. [INFO] [06.10.2021 7:02:46] Disruptive service found. (name -> SQLBrowser) [INFO] [06.10.2021 7:02:46] Getting service status. (name -> SQLBrowser) [INFO] [06.10.2021 7:02:46] Service SQLBrowser is not started. [INFO] [06.10.2021 7:02:46] Disruptive service found. (name -> SQLSERVERAGENT) [INFO] [06.10.2021 7:02:46] Getting service status. (name -> SQLSERVERAGENT) [INFO] [06.10.2021 7:02:46] Service SQLSERVERAGENT is not started. [INFO] [06.10.2021 7:02:46] Disruptive service found. (name -> SQLWriter) [INFO] [06.10.2021 7:02:46] Getting service status. (name -> SQLWriter) [INFO] [06.10.2021 7:02:46] Service SQLWriter is not started. [INFO] [06.10.2021 7:02:46] Disruptive service found. (name -> vds) [INFO] [06.10.2021 7:02:46] Getting service status. (name -> vds) [INFO] [06.10.2021 7:02:46] Stopping service vds. [INFO] [06.10.2021 7:02:46] Disable windows task manager -> disabled. [INFO] [06.10.2021 7:02:46] Executing some important CMD commands. [INFO] [06.10.2021 7:02:46] Removing system restore points. [ERROR] [06.10.2021 7:02:46] Не найдено [INFO] [06.10.2021 7:02:46] Clearing user recycle bin. [ERROR] [06.10.2021 7:02:46] Failed to empty recycle bin , error code -> -2147418113 [INFO] [06.10.2021 7:02:46] Disabling Windows defender anti virus. [INFO] [06.10.2021 7:02:46] Windows defender anti-virus disabled successfully. [INFO] [06.10.2021 7:02:46] Applying user login note message. [INFO] [06.10.2021 7:02:46] User login note message applied successfully. [INFO] [06.10.2021 7:02:46] Applying note message in "my computer" properties. [INFO] [06.10.2021 7:02:46] OEM information applied successfully. [INFO] [06.10.2021 7:02:46] Starting encryption process. [INFO] [06.10.2021 7:02:46] Initializing drive "A:\" I/O thread. [INFO] [06.10.2021 7:02:46] Drive A:\ thread created & started successfully. (thread id -> 7400, size -> 268,6 MB , type -> Fixed). [INFO] [06.10.2021 7:02:46] Initializing drive C:\ I/O thread. [INFO] [06.10.2021 7:02:46] Drive C:\ thread started successfully. (thread id -> 4308, size -> 166,9 GB , type -> Fixed). [INFO] [06.10.2021 7:02:46] Initializing drive "D:\" I/O thread. [INFO] [06.10.2021 7:02:46] Drive D:\ thread created & started successfully. (thread id -> 9940, size -> 4,3 GB , type -> CDRom). [INFO] [06.10.2021 7:02:46] Initializing drive "Z:\" I/O thread. [INFO] [06.10.2021 7:02:46] Drive Z:\ thread created & started successfully. (thread id -> 676, size -> 229,0 GB , type -> Fixed). [INFO] [06.10.2021 7:02:46] Waiting for I/O threads to finish. [INFO] [06.10.2021 7:03:24] Changing volumes label. [INFO] [06.10.2021 7:03:24] Volume A:\ label changed successfuly , new volume label -> Locked by Loki. [INFO] [06.10.2021 7:03:24] Volume C:\ label changed successfuly , new volume label -> Locked by Loki. [ERROR] [06.10.2021 7:03:24] Failed to set volume label , volume -> D:\ , error code -> 5 [INFO] [06.10.2021 7:03:24] Volume Z:\ label changed successfuly , new volume label -> Locked by Loki. [INFO] [06.10.2021 7:03:24] Changing Windows desktop wallpaper. [INFO] [06.10.2021 7:03:26] Windows desktop wallpaper changed successfully. [ERROR] [06.10.2021 7:03:26] Failed to write info file. (error message -> Отказано в доступе по пути "D:\info.hta".) [INFO] [06.10.2021 7:03:26] Shutdown -> disabled. **************** Loki finished at 06.10.2021 in 7:03:26 ****************  
      loki pass 12345.rar
    • alexey_sp
      От alexey_sp
      Зашифровались все файлы на сервере, предположительно виной всему открытый RDP-порт (Проблема уже решена). После обнаружения проблемы, прогнал KVRT - обнаружился HEUR:Trojan-Ransom.Win32.Cryakl.gen, его удалил. По описанию должны были помочь с расшифровкой утилиты Rakhni Decryptor и Rannoh Decryptor, но увы.. 
      Как быть? Прикладываю архив с запиской и две пары файлов оригинальный\шифрованный
      Desktop.7z
×
×
  • Создать...