Перейти к содержанию

HEUR:Trojan-Ransom.win32.generic


Рекомендуемые сообщения

Desktop.zip

 

Организация поймала шифровальщик.

Каспер был благополучно остановлен и запущен kavremover.
Расскажите о перспективах расшифровки.
Пароль 12345

Есть так-же образцы этой заразы, если поможет, могу выложить.

Изменено пользователем Юрий_Колбин
Ссылка на сообщение
Поделиться на другие сайты

Я анализирую историю заражений, и у меня есть подозрение, что Каспер не ловит одну из модификаций этого трояна.

Предыстория за день до шифрования. Принесли файлы с документами на второй комп, открыли (при работающем каспере), он не сругался, он не закрылся, он не удалился, и его в логах чисто и нет срабатываний, а на утро файлы тоже оказались зашифрованные этой же ночью. (windows 100% чистый, был установлен 3 дня назад). Компы в одной сети. PDP был закрыт.

Изменено пользователем Юрий_Колбин
Ссылка на сообщение
Поделиться на другие сайты

Вообщем, на основе глубокого анализа произошедшего сформировалась гипотеза: 

  • есть первоисточник, который детектится как Ransom, чаще всего заражение происходит на том устройстве, где нет антивирусной защиты;
  • есть "дочка", с ключом шифрования, полученным им от "мамки", в этой дочке так-же содержится дата "взрыва", совпадающая с датой взрыва "у мамки". Распространяется она через flash или общие сетевые ресурсы, и которая не детектится Каспером, при запуске делает своё грязное дело на всех компах, куда успела распространится, и в дату "срабатывания" выполняет самоликвидирование. Работает, возможно, как скрипт, а не как приложение, поэтому не определяется. При этом дочка не встраивается в автозагрузку, не создаёт tasks, не копируется в профили пользователей, не подменяет на компах фон рабочего стола, а просто шифрует файлы неким ключом и удаляется.

Вопрос к экспертам, если я найду эту тварь "дочернюю" (через глубокое сканирование удалённых файлов), возможно ли из неё извлечь ключ шифрования?

 

Готовы заплатить (вам, а не мошенникам) за решение задачи по дешифровке в пределах вменяемой суммы.

Ссылка на сообщение
Поделиться на другие сайты
19 часов назад, Юрий_Колбин сказал:

Я анализирую историю заражений, и у меня есть подозрение, что Каспер не ловит одну из модификаций этого трояна.

Какая точная версия АВПО стояла? Включен ли модуль Мониторинг системы в момент заражения? Шифрованию подверглись только сетевые папки? 

 

18 часов назад, Юрий_Колбин сказал:

Вопрос к экспертам, если я найду эту тварь "дочернюю" (через глубокое сканирование удалённых файлов), возможно ли из неё извлечь ключ шифрования?

А смысл, если мастер ключ AES накрыт публичным ключом RSA большой длины? 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • ats_1990
      От ats_1990
      Здравствуйте, шифровальщик зашифровал файлы в системе Windows Server 2022. Подскажите, есть ли шанс расшифровать такие файлы. В архиве для примера приложил три файла оригинальных, эти же файлы зашифрованные вирусом и txt с требованием денег. 
      files.7z
    • Genas
      От Genas
      Добрый день, форумчане!
      Помогите разобраться с шифровальщиком Loki. Зашифровал файлы и испортил систему на сервере. 
       
      Frst.7z EncriptedFiles.7z
    • ZloyM
      От ZloyM
      Утром при входе обнаружилось, что файлы зашифрованы, имеется письмо с требованием денег.
      В журнале угроз Ransom:Win32/Sorikrypt и Trojan:Win32/Wacatac.H!ml - запушены утром пользователями, которые точно не могли это сделать.
      От интернета отключил. Если не отключать, то примерно раз в 10 минут пользователя выкидывает и при этом с флешки удаляются все файлы и на нее помещается копия письма с требованием денег.
      CureIt и KVRT нашли только RDPWrap.
      CollectionLog-2023.10.27-13.29.zip
    • Skampf
      От Skampf
      Банидты активизировались еще пол года назад. Все страдают, касперский защититься не помог и дешефровшик не делает, почему? Когда ждать?
       
      Кстати, вот, что пишет антивирус "HEUR:trojan-ransom.win32.generic".
      "HEUR:Trojan-Ransom.Win32.Convagent.gen"
       
      Формат зашифрованных файлов "QeEL8oxd6". Имя рандомное.
       
      зашифровка.zip
    • Пётр Б
      От Пётр Б
      Добрый вечер.
      Зашифровались файлы на сервере. Дешифраторы, описанные на форуме не помогли
      Систему не переустанавливали и не чистили
      В архиве virus файл из автозагрузки
      Зашифрованные файлы и файлы с требованиями.zip virus.zip hrmlog.zip frst.zip
×
×
  • Создать...