Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

HEUR:Trojan-Ransom.win32.generic

Юрий_Колбин

Автор Юрий_Колбин
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Юрий_Колбин Новичок

Юрий_Колбин

Опубликовано
Опубликовано (изменено)

Desktop.zip

 

Организация поймала шифровальщик.

Каспер был благополучно остановлен и запущен kavremover.
Расскажите о перспективах расшифровки.
Пароль 12345

Есть так-же образцы этой заразы, если поможет, могу выложить.

Изменено пользователем Юрий_Колбин
Ссылка на комментарий
Поделиться на другие сайты
Юрий_Колбин Новичок

Юрий_Колбин

Опубликовано
  • Автор
Опубликовано (изменено)

Я анализирую историю заражений, и у меня есть подозрение, что Каспер не ловит одну из модификаций этого трояна.

Предыстория за день до шифрования. Принесли файлы с документами на второй комп, открыли (при работающем каспере), он не сругался, он не закрылся, он не удалился, и его в логах чисто и нет срабатываний, а на утро файлы тоже оказались зашифрованные этой же ночью. (windows 100% чистый, был установлен 3 дня назад). Компы в одной сети. PDP был закрыт.

Изменено пользователем Юрий_Колбин
Ссылка на комментарий
Поделиться на другие сайты
Юрий_Колбин Новичок

Юрий_Колбин

Опубликовано
  • Автор
Опубликовано

Вообщем, на основе глубокого анализа произошедшего сформировалась гипотеза: 

  • есть первоисточник, который детектится как Ransom, чаще всего заражение происходит на том устройстве, где нет антивирусной защиты;
  • есть "дочка", с ключом шифрования, полученным им от "мамки", в этой дочке так-же содержится дата "взрыва", совпадающая с датой взрыва "у мамки". Распространяется она через flash или общие сетевые ресурсы, и которая не детектится Каспером, при запуске делает своё грязное дело на всех компах, куда успела распространится, и в дату "срабатывания" выполняет самоликвидирование. Работает, возможно, как скрипт, а не как приложение, поэтому не определяется. При этом дочка не встраивается в автозагрузку, не создаёт tasks, не копируется в профили пользователей, не подменяет на компах фон рабочего стола, а просто шифрует файлы неким ключом и удаляется.

Вопрос к экспертам, если я найду эту тварь "дочернюю" (через глубокое сканирование удалённых файлов), возможно ли из неё извлечь ключ шифрования?

 

Готовы заплатить (вам, а не мошенникам) за решение задачи по дешифровке в пределах вменяемой суммы.

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
19 часов назад, Юрий_Колбин сказал:

Я анализирую историю заражений, и у меня есть подозрение, что Каспер не ловит одну из модификаций этого трояна.

Какая точная версия АВПО стояла? Включен ли модуль Мониторинг системы в момент заражения? Шифрованию подверглись только сетевые папки? 

 

18 часов назад, Юрий_Колбин сказал:

Вопрос к экспертам, если я найду эту тварь "дочернюю" (через глубокое сканирование удалённых файлов), возможно ли из неё извлечь ключ шифрования?

А смысл, если мастер ключ AES накрыт публичным ключом RSA большой длины? 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • nikolai.ilyin
      Ransom.Win32.Generic
      Автор nikolai.ilyin
      Зашифровали всю сеть 
      virus.7z Addition.txt
    • Mapuo__
      HEUR:Trojan.Win32.Generic
      Автор Mapuo__
      Добрый день, в последние дни наблюдается странная активность на машине, пытались и через KES (другим ПО, вручную) проводить удаление\лечение но каждый день находит подозрительные файлы. Так же иногда находил файлы в оперативной памяти (на скрине не видно, почему-то перестал там отображаться) + так же грузит ЦП в 100 при включенном KES. Смотрел похожие случаи на форме, там вы помогали скриптами людям, отчеты прикрепляю(собирал через AutoLogger), надеюсь правильно собрал., + скрин хранилища (первые два стабильно попадаются на удаление)

      CollectionLog-2025.02.04-09.33.zip
    • DoctorRS
      Trojan-Ransom.Win32.Mimic
      Автор DoctorRS
      Добрый день. Зашифровали файлы Trojan-Ransom.Win32.Mimic, не работает 1С и файлы офис. Помогите пожалуйста есть ли варианты дешифрации ? 
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • foroven
      [РАСШИФРОВАНО]Шифровальщик Trojan-Ransom.Win32.Xorist.ln
      Автор foroven
      Добрый день. Схватили шифровальщик. Кажется что взломали RDP доступ т.к был открыт наружу с слабым паролем. Зашифрованные файлы имеют расширение *.er
      Файлы с обычным расширением где есть файл *.er не открываются. В основном зашифрованы базы 1С и полностью пропал из системы один диск, отображается в диспетчере дисков, как нераспределенный. Но программой восстановления удалось восстановит все файлы, но они также зашифрованы.

      Копии.7z
    • bakanov
      HEUR:Trojan-Ransom.Win32.Mimic.gen
      Автор bakanov
      Добрый день , поймали шифровальщик HEUR:Trojan-Ransom.Win32.Mimic.gen. Залез судя по всему через RDP , отсканировал домен, получил доступы к администратору домена domain\administrator и начал все шифровать куда есть доступы админа. Машину вырубили, загрузился с livecd , нашел хвосты , временные файлы и т.д. Есть варианты файлов до шифровки и после шифровки , есть ли возможность найти ключик для дешифровки для конкретно это машины ?
×
×
  • Создать...