Перейти к содержимому


Dmitry Shutov

Дата рег: 14 Сен 2009
Оффлайн Был(а) онлайн: Вчера, 21:21
*****

Сообщения пользователя

В теме:Шифровальщик с расширением 1-С Trojan.Encoder.5342

25 Декабрь 2018 - 19:38

Доброго времени суток. На днях взломали  сервер через РДП подключение и занесли вирус. Зашифровалось большое кол-во файлов. Ни один из существующих дешифраторов не помогает. В каждом каталоге с файлами появился текстовый файл с таким содержимым

 

Для связи с нами используйте почту
PREDSEDATEL@TUTAMAIL.COM

 

Делал персональный запрос на дешифратор, получил такой ответ. 

Здравствуйте. 
 
Зашифровано одним из вариантов Trojan.Encoder.5342 
 
К сожалению, расшифровка нашими силами невозможна. 
 
Восстановление данных - только из резервных копий, если велось резервное копирование. 
 

Если мы когда-нибудь всё-же получим какую-либо практически полезную для расшифровки ваших файлов информацию, мы вам сообщим.  

 

Очень нужна помощь. Архив с зашифрованными файлами прилагаю.

 

Так получается Вам ответили с DrWeb.....К сожалению, расшифровка нашими силами невозможна. 

 

Это еще и подтверждает сервис  https://id-ransomware.malwarehunterteam.com

 

https://id-ransomware.malwarehunterteam.com/identify.php?case=9d2a6d40ff35ef3f0b77593b882cae5c4e72ee22


В теме:Злобный вирус прокрался незаметно

19 Декабрь 2018 - 23:29

[quote name="Dmitry Shutov" post="862799" timestamp="1545248339"][quote]
Ждем вердикта.
Тут все оч плохо, вирус (руткит) меняет права админа, меняет ключи в реестре, перезапускается с системой, я так понял он себе виртуальную машину поставил, встроенный майнер вроде как есть и даже не один. Блокирует соединение в сеть мне а сам я так понял делает себе какое то блютус соединение, я вытащил кабель из сети дабы изолироваться. Сижу мониторю тему и жду помощи. Антивирусы не видят его в упор так как поменяет системные файлы своими копиями. Если смотреть в свойства файлов то видно что там все не совсем стандартно. Плюс софтина маскируется под драйвера nvidia (оч старой версии) плюс фейковые процессы експлорер и сервисес,помледний насоздавал кучу svhost и чето они все делают постоянно. В общем я тут на связи если надо чего пишите. Софта накачал с трубы для сбора статистики достаточно.

 

Логи вы собрали, завтра аналитики посмотрят.

 

 

AlternateDataStreams: C:\Users\Cosmos\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [362]

AlternateDataStreams: C:\Users\Cosmos\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [362]
AlternateDataStreams: C:\Users\Cosmos\AppData\Local\Temp:$DATA​ [16]

 

Еще у многих если по гуглить вот такая проблема (из лога FRST).


В теме:Злобный вирус прокрался незаметно

19 Декабрь 2018 - 22:38

 

<file path="C:\Users\Cosmos\AppData\Roaming\uTorrent\uTorrent.exe" size="1738936" links="1" ctime="27.07.2018 01:27:15.788" atime="27.07.2018 01:27:15.788" wtime="17.11.2018 21:20:28.400" buildtime="31.10.2018 19:30:56.000">

<attrib archive="true" value="20" />
<hash sha1="707e4b7348d04ee1853f1345e10ada132a04a59d" sha256="7313e5538b4a1f6a046e95b7e3cdb5753a7450f6df1dacb97739c8af5bd963cd" />
<arkstatus file="signed, pe32" cert="signed" cloud="unknown" type="unknown" />
<verinfo company="BitTorrent Inc." descr="ВµTorrent" origname="uTorrent.exe" version="3.5.4.44846" product_name="ВµTorrent" product_version="3.5.4.44846" file_version_ls="306990" file_version_ms="196613" product_version_ls="306990" product_version_ms="196613" />
<certinfo timestamp="31.10.2018 19:32:48.000">
<item subject="C=US|ST=California|L=San Francisco|O=BitTorrent Inc|CN=BitTorrent Inc" issuer="C=US|O=Symantec Corporation|OU=Symantec Trust Network|CN=Symantec Class 3 SHA256 Code Signing CA" thumbprint="7ba078d02030b5f520cec1d9232864495a8f5da0" sn="0cf35369a9710762c36f6805fc9e45d6" from="18.08.2016 03:00:00.000" to="13.10.2019 02:59:59.000" />
<item subject="C=US|O=Symantec Corporation|OU=Symantec Trust Network|CN=Symantec Class 3 SHA256 Code Signing CA" issuer="C=US|O=VeriSign, Inc.|OU=VeriSign Trust Network|OU=© 2006 VeriSign, Inc. - For authorized use only|CN=VeriSign Class 3 Public Primary Certification Authority - G5" thumbprint="007790f6561dad89b0bcd85585762495e358f8a5" sn="3d78d7f9764960b2617df4f01eca862a" from="10.12.2013 03:00:00.000" to="10.12.2023 02:59:59.000" />
<item subject="C=US|O=VeriSign, Inc.|OU=VeriSign Trust Network|OU=© 2006 VeriSign, Inc. - For authorized use only|CN=VeriSign Class 3 Public Primary Certification Authority - G5" issuer="C=US|O=VeriSign, Inc.|OU=VeriSign Trust Network|OU=© 2006 VeriSign, Inc. - For authorized use only|CN=VeriSign Class 3 Public Primary Certification Authority - G5" thumbprint="4eb6d578499b1ccf5f581ead56be3d9b6744a5e5" sn="18dad19e267de8bb4a2158cdcc6b3b4a" from="08.11.2006 03:00:00.000" to="17.07.2036 02:59:59.000" />
</certinfo>

 

https://www.virustotal.com/#/file/7313e5538b4a1f6a046e95b7e3cdb5753a7450f6df1dacb97739c8af5bd963cd/detection

 

Не совсем уверен ...но странный торрент (( с сертификатом от Symantec.

 

https://www.reverse.it/sample/ec2c086ff784b06e4ff05243164ddb768b81ee32096afed6d5e574ff350b619e?environmentId=120 (utorrent_2.2.1.exe) - укачивает - Cosmos\AppData\Roaming\uTorrent\uTorrent.exe

 

drweb.com #8495411 - ждем вердикта.

 


В теме:Поймал шифровальщик, расшифровка не требуется, требуется совет, что делать проти...

03 Декабрь 2018 - 18:19

На сервере-файлопомойке поймал шифровальщика

Люди там не работают, поэтому антивирус туда не ставил, но как-то пролезло, пока не понял как. 

Зашифровались не все папки, сижу, разбираюсь с разрешениями, кто кого куда мог впустить. 

Файлы приобрели следующие имена

УКК ЗУП_20140501041000.dt.id-5E25F18D.[suppfirecrypt@qq.com].fire

Окна вымогателей не было

 

В сети имеется DrWeb security suite 

Версия Сервера Dr.Web 11.00.0 (31-05-2018 03:00:00)

но на сервере его не было. Только что поставил, но требует перезагрузку, отложил на вечер. 

Зашифрованные файлы расшифровывать не надо, это был один из двух серверов бэкапа, есть второй, уже всё восстановлено.

Однако, сама операционная система осталась та же самая, опасаюсь, что шифровальщик жив и ждёт расписания. 

 

Вопрос, какие действия проделать, чтобы найти и убить сам шифровальщик, чтобы это не повторилось. 

Ловит ли DrWeb такие вещи, или надо подготовиться и проделать что-нибудь ещё? 

 

Ага, увидел советы робота. Но если есть что добавить, прошу. 

 

Вероятнее всего мы его ловим. 

 

https://www.virustotal.com/#/file/151921dc5a3d72cdce14bf08c728c40b7ff0b1a555014163cbff375886ea411d/detection


В теме:Зашифрованы файлы goodjob24

29 Ноябрь 2018 - 14:01

 

 

Обновление от 25 ноября 2018:
Расширение: .myjob
Составное расширение: .id-XXXXXXXX.[goodjob24@foxmail.com].myjob
Записки: Info.hta + FILES ENCRYPTED.txt
Email: goodjob24@foxmail.com

 

https://www.virustotal.com/#/file/e75ee5dcc9921d016f9d33989cfebe97db006354699f7d005d82801a3daa8920/detection

 

https://id-ransomware.malwarehunterteam.com/identify.php?case=ddfc9c636f31b9046063bd5fbd0f7ff22d3b419a

 

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:

 

 

 

.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob

 

Выше изложенная информация из интернета....ждем логи и ответы вирусных аналитиков.