файлы зашифрованы с расширением .fairytail, .doubleoffset , Filecoder.NHT/ Cryakl CL 1.4.*-1.5.*;

RSS
Цитата
santy написал:
Владлен Александров,

добавьте несколько зашифрованных файлов + записку о выкупе в архив и поместите в ваше сообщение
+
добавьте образ автозапуска системы, возможно необходима очистка системы от тел шифратора и вредоносных программ.
Александр помогите пожалуйста! поймал шифровальщика, во вложении записка readme.txt , фаил образа автозапуска и зашифрованный фаил запакованный в архив.

Ответы

Добрый день. Произошло шифрование файлов, злоумышленники проникли по RDP.
Файлы имеют вид - email-tapok@tuta.io.ver-CL  1.5.1.0.id-2430153881-590294926530548068443474.fname-Заявки в  эксель.xlsx.doubleoffset

Установлено время заражения, и в папке учетной записи пользователя  Temp найдены файлы относящиеся к шифровальщику, созданы в это же время.  

Огромная просьба помочь.
TEMP.jpg (842.94 КБ)
Цитата
Юрий Приставка написал:
Добрый день. Произошло шифрование файлов, злоумышленники проникли по RDP.
Файлы имеют вид -  email-tapok@tuta.io.ver-CL   1.5.1.0.id-2430153881-590294926530548068443474.fname-Заявки в  эксель.xlsx.doubleoffset

Установлено время заражения, и в папке учетной записи пользователя  Temp найдены файлы относящиеся к шифровальщику, созданы в это же время.  

Огромная просьба помочь.
добавьте образ автозапуска из зашифрованной системы
+
по доступу к RDP: смените на сложные пароли пользователей, через которых произошел взлом,
настройте защиту от подбора паролей: блокирование ip после нескольких попыток неправильного ввода пароля.
ограничьте по возможности доступ из внешней сети, оставьте доступ только для проверенных ip

иначе взлом и шифрование могут повториться.
Образ автозапуска
Скрин содержимого папки Temp во вложении. IP адрес с которого заходили в логах RDP - 194.61.24.131
TEMP.jpg (842.94 КБ)
Юрий Приставка
1) Антивируса в системе нет.
2) Вирус всё ещё активен:
C:\USERS\ADMIN\APPDATA\LOCAL\TEMP\XXXYAABCCD.EXE
ESET a variant of Win32/Filecoder.EQ
3) Здесь лишняя запись: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe\Debugger
http://winitpro.ru/index.php/2012/05/29/dyra-pozvolyayushhaya-zapustit-lyuboe-prilozheniya-na-ekrane-vxoda-v-windows/
1 и 2 знаю, ничего не трогаю специально, от сети отключен. После включения гашу экзешник и задачу из шедуллера.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\TEMP\XXXYAABCCD.EXE
regt 35
;---------command-block---------
delall %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\TEMP\XXXYAABCCD.EXE
apply

czoo
EXIT

без перезагрузки системы, пишем о старых и новых проблемах.
------------


по расшифровке файлов напишите в support@esetnod32.ru, однако помощь в расшифровке будет оказана при наличие лицензии на продукт ESET
Добрый день. Спасибо за помощь, попробую написать в support@esetnod32.ru К сожалению нужна именно расшифровка.
Цитата
Юрий Приставка написал:
Добрый день. Спасибо за помощь, попробую написать в  support@esetnod32.ru  К сожалению нужна именно расшифровка.
хорошо, отпишите по результату,
Читают тему (гостей: 1)