Решена с расшифровкой. Шифровальщик ruch (В шапке написано Encryptor 1.5.2.0.vis) email-3nity@tuta.io.ver-CL 1.5.1.0

[roboc3po]

Друг поймал шифровальщика

Каким то макаром был проброшен порт RDP 3389 на сервер (клянётся что сам не делал)
Хакеры зашли по рдп с пользователем FRODO (пользователя небыло видимо эксплоит)

На момет обнаружения висело подключение по РДП с адреса 194.61.24.160 (хостинг в нидерландах)
Проброс закрыли, пользователю сменили пароль и перехватили сеанс RDP
В РДП была запущена программка ruch (В шапке написано Encryptor 1.5.2.0.vis)
Выбрали что шифровать и зашифровали, тоесть программа управляется в ручную..
Программа ruch на текущий момент запущена.

Рядом лежали какие то программы для взлома рдп видимо (taskmgr).
Так же было открыто РДП на другой комп в сети и там щифровали локальные файлы.
В записке readme было написано (send your country and ip to 3nity@tuta.io)
Я так полягаю что ключик зашит в программе.

Скриншот прилагаю
Саму программу прилагаю ruch.zip и taskmgr.zip
Пример зашифрованных файлов 7-Zip.zip

Сборщик логов не запускал, не хочу перегружаться, может что в памяти есть илил еше какие действия можно сделать)
Файлы Файл из Облака Mail.Ru
пароль 12345678

Спасибо .

 

[akok]

Собирайте логи, нужно убрать тело шифровальщика. И подождите ответа @thyrex, он проверит возможность расшифровки

 

[Sandor]

Сборщик логов не запускал, не хочу перегружаться

Для 64-битной системы перезагрузка не понадобится.

 

[roboc3po]

Спасибо что на работе. Вот лог.

 

[thyrex]

Надо было сразу и шифратор выгружать, пока он не пошифровал еще больше файлов.

Расшифрованные файлы files4.rar (754.70KB) - SendSpace.com

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
  SetServiceStart('KProcessHacker3', 4);
TerminateProcessByName('c:\users\podbelskiy.komplex\desktop\ruch.exe');
DeleteFile('c:\users\podbelskiy.komplex\desktop\ruch.exe','32');
DeleteFile('C:\Users\podbelskiy.KOMPLEX\Desktop\taskmgr\x86\kprocesshacker.sys','32');
DeleteService('KProcessHacker3');
DeleteFileMask('C:\Users\podbelskiy.KOMPLEX\Desktop\taskmgr', '*', true);
DeleteDirectory('C:\Users\podbelskiy.KOMPLEX\Desktop\taskmgr');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

 

[roboc3po]

Урааа!!! На момент обнаружения уже все было зашифровано.... Так что изучали что за зверь... Но все пути ведут к вам. "thyrex"
ПО факту трудились два компа... Ключи будут разные , верно ? Компы отформатируем... как только данные сольем... Делаю скрипт и делаю отчет. Отчет нужен по двум компикам ?

 

[roboc3po]

Не почистились файлы , сейчас еще раз проделаю чистку и автологер...

 

[akok]

по второй машине создайте отдельную тему, чтоб не путаться. И логи тоже нужны будут, чтоб проверить наличие активного шифровальщика.

 

[akok]

Компы отформатируем...

Тогда и полноценно чистить не будем, только деактивируем вредоносное ПО.

 

[roboc3po]

А как получить дешифратор ?

 

[akok]

А как получить дешифратор ?

Проверьте ЛС, если сообщения еще нет, то ожидайте ответа от @thyrex он уже прикрепил часть расшифрованных файлов (5 пост)

 

[roboc3po]

Ок , жду. Там были фафлики от архиватора, для примера.... Основные фаёлы заливать долго.... ( с меня донат в вашу копилку, скриншот приложу)

 

[akok]

с меня донат в вашу копилку, скриншот приложу

За это, конечно спасибо, но помогаем мы абсолютно бесплатно

 

[thyrex]

Информация выслана в ЛС

 

[roboc3po]

Личку получил, первая партия пошла расшифроввываться.... Но вот еще 2-а типа..
Небольшое резюме для сообщества

Шифровальщик Cryakl Ransomware (Cryakl 1.5.1.0 DOUBLEOFFSET)
Программа была ruch (В шапке написано Encryptor 1.5.2.0.vis)
Распространяли в ручную посредством взлома RDP....
Имена Файлов email-3nity@tuta.io.ver-CL 1.5.1.0
Пример email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-7-zip.chm.doubleoffset
Внутри зашифрованных вайлов в конце файла сигнатуры
{ENCRYPTSTART}{1028}{
{proc}{CL 1.5.1.0}

P.S. Другу/Админу урок где хранить копии и как до них добирается шифровальщик...

 

[thyrex]

Отправил еще два ключа

 

[roboc3po]

Все расшифровал. Закинул Донат. =) Спасибо !!!
Можно ззакрывать тему.

 

[Sandor]

На заметку: Рекомендации после удаления вредоносного ПО