• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Шифровальщик ruch (В шапке написано Encryptor 1.5.2.0.vis) email-3nity@tuta.io.ver-CL 1.5.1.0

Статус
В этой теме нельзя размещать новые ответы.

roboc3po

Новый пользователь
Сообщения
8
Реакции
0
Друг поймал шифровальщика

Каким то макаром был проброшен порт RDP 3389 на сервер (клянётся что сам не делал)
Хакеры зашли по рдп с пользователем FRODO (пользователя небыло видимо эксплоит)

На момет обнаружения висело подключение по РДП с адреса 194.61.24.160 (хостинг в нидерландах)
Проброс закрыли, пользователю сменили пароль и перехватили сеанс RDP
В РДП была запущена программка ruch (В шапке написано Encryptor 1.5.2.0.vis)
Выбрали что шифровать и зашифровали, тоесть программа управляется в ручную..
Программа ruch на текущий момент запущена.

Рядом лежали какие то программы для взлома рдп видимо (taskmgr).
Так же было открыто РДП на другой комп в сети и там щифровали локальные файлы.
В записке readme было написано (send your country and ip to 3nity@tuta.io)
Я так полягаю что ключик зашит в программе.

Скриншот прилагаю
Саму программу прилагаю ruch.zip и taskmgr.zip
Пример зашифрованных файлов 7-Zip.zip

Сборщик логов не запускал, не хочу перегружаться, может что в памяти есть илил еше какие действия можно сделать)
Файлы Файл из Облака Mail.Ru
пароль 12345678

Спасибо .
 
Собирайте логи, нужно убрать тело шифровальщика. И подождите ответа @thyrex, он проверит возможность расшифровки
 
Спасибо что на работе. Вот лог.
 

Вложения

  • CollectionLog-2019.05.10-15.10.zip
    100.9 KB · Просмотры: 2
Надо было сразу и шифратор выгружать, пока он не пошифровал еще больше файлов.

Расшифрованные файлы files4.rar (754.70KB) - SendSpace.com

Выполните скрипт в AVZ из папки Autologger
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
  SetServiceStart('KProcessHacker3', 4);
TerminateProcessByName('c:\users\podbelskiy.komplex\desktop\ruch.exe');
DeleteFile('c:\users\podbelskiy.komplex\desktop\ruch.exe','32');
DeleteFile('C:\Users\podbelskiy.KOMPLEX\Desktop\taskmgr\x86\kprocesshacker.sys','32');
DeleteService('KProcessHacker3');
DeleteFileMask('C:\Users\podbelskiy.KOMPLEX\Desktop\taskmgr', '*', true);
DeleteDirectory('C:\Users\podbelskiy.KOMPLEX\Desktop\taskmgr');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 
Последнее редактирование:
Урааа!!! На момент обнаружения уже все было зашифровано.... Так что изучали что за зверь... Но все пути ведут к вам. "thyrex"
ПО факту трудились два компа... Ключи будут разные , верно ? Компы отформатируем... как только данные сольем... Делаю скрипт и делаю отчет. Отчет нужен по двум компикам ?
 

Вложения

  • CollectionLog-2019.05.10-17.44.zip
    53.6 KB · Просмотры: 2
Последнее редактирование:
Не почистились файлы , сейчас еще раз проделаю чистку и автологер...
 
по второй машине создайте отдельную тему, чтоб не путаться. И логи тоже нужны будут, чтоб проверить наличие активного шифровальщика.
 
А как получить дешифратор ?
 
Ок , жду. Там были фафлики от архиватора, для примера.... Основные фаёлы заливать долго.... ( с меня донат в вашу копилку, скриншот приложу)
 
Информация выслана в ЛС
 
Личку получил, первая партия пошла расшифроввываться.... Но вот еще 2-а типа..
Небольшое резюме для сообщества

Шифровальщик Cryakl Ransomware (Cryakl 1.5.1.0 DOUBLEOFFSET)
Программа была ruch (В шапке написано Encryptor 1.5.2.0.vis)
Распространяли в ручную посредством взлома RDP....
Имена Файлов email-3nity@tuta.io.ver-CL 1.5.1.0
Пример email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-7-zip.chm.doubleoffset
Внутри зашифрованных вайлов в конце файла сигнатуры
{ENCRYPTSTART}{1028}{
{proc}{CL 1.5.1.0}

P.S. Другу/Админу урок где хранить копии и как до них добирается шифровальщик...
 
Последнее редактирование модератором:
Отправил еще два ключа
 
Все расшифровал. Закинул Донат. =) Спасибо !!!
Можно ззакрывать тему.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу