Закрыто Шифровальщик n_nightmare@yahoo.com

Статус
В этой теме нельзя размещать новые ответы.

lumberjack

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
Здравствуйте. Подцепил недавно шифровальщик n_nightmare@yahoo.com. Пользовательские файлы зашифрованы. В каждой папке файл readme с корявой просьбой написать свою страну на этот емейл.
Благо, жизненно важных файлов вроде не было, но конечно хотелось бы расшифровать, если получится. И самое главное понять, как именно враг смог проникнуть на комп.
Скорее всего это всё-таки RDP. Постоянно работаю на удаленном компе, подключаюсь по RDP с планшета. И при этом у Windows юзера на компе слабенький пароль. А вот в день заражения я ещё впридачу поэкспериментировал следующим образом:
У меня стоит Fiddler, он может работать как прокси. Я его временно включил чтобы получить vpn-трафик с компа (используется Citrix для доступа к корпоративным ресурсам) на мобильное устройство. Может именно в это время кто-то смог пробраться. О безопасности в это время я, видимо, не думал. Привык, что вирусы обычно не цепляю, на фишинг не ведусь и вообще угроза безопасности это что-то не про меня) Вот и поплатился.
Ещё некоторые детали: на удаленном роутере работает динамический dns, по нему я подключаюсь к этому удалённому компу. Настроен проброс порта 3389 на локальный адрес компа.
Надеюсь на помощь в расшифровке и в указании на конкретную дыру, через которую проникла зараза. Спасибо.
 

Вложения

akok

Команда форума
Администратор
Сообщения
16,852
Реакции
13,213
Баллы
2,203
Прикрепите записку о выкупе и несколько маленьких зашифрованных файлов.
 

akok

Команда форума
Администратор
Сообщения
16,852
Реакции
13,213
Баллы
2,203
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

lumberjack

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
А ещё в продводнике в разделе Сеть есть некий tscclient. Это никак не связано с заразой?
Насчёт записки о выкупе, Вы имеете уже письмо от них? Я им даже не стал писать.
 

Вложения

  • 24.1 KB Просмотры: 2
  • 309 KB Просмотры: 3

lumberjack

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
Какие-то непонятные процессы есть:
C:\Program Files\WindowsApps\Microsoft.Windows.Photos_2019.19031.17720.0_x64__8wekyb3d8bbwe\Microsoft.Photos.exe
() [File not signed] C:\Program Files\WindowsApps\Microsoft.Windows.Photos_2019.19031.17720.0_x64__8wekyb3d8bbwe\Microsoft.Photos.exe
В фаерволле для них отключил входящие подключения
Правильно?
 

akok

Команда форума
Администратор
Сообщения
16,852
Реакции
13,213
Баллы
2,203
Task: {5AA5ABD9-ECE0-4047-9B8C-608587F49B2A} - System32\Tasks\npcapwatchdog => C:\Program [Argument = Files\Npcap\CheckStatus.bat] <==== ATTENTION - сами ставили npcap?
Взломали через учетку User, смените пароли на RDP
C:\Users\User\.ssh - папка знакома?
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\Windows\system32\ssh-keygen.exe
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    2019-05-24 01:07 - 2019-05-24 01:07 - 000000060 _____ C:\Users\Yabro testing\README.txt
    2019-05-24 01:07 - 2019-05-24 01:07 - 000000060 _____ C:\Users\Yabro testing\Downloads\README.txt
    2019-05-24 01:07 - 2019-05-24 01:07 - 000000060 _____ C:\Users\Yabro testing\Documents\README.txt
    2019-05-24 01:07 - 2019-05-24 01:07 - 000000060 _____ C:\Users\Yabro testing\Desktop\README.txt
    2019-05-24 01:07 - 2019-05-24 01:07 - 000000060 _____ C:\Users\Yabro testing\AppData\Roaming\README.txt
    2019-05-24 01:07 - 2019-05-24 01:07 - 000000060 _____ C:\Users\Yabro testing\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-05-24 01:07 - 2019-05-24 01:07 - 000000060 _____ C:\Users\Yabro testing\AppData\Local\README.txt
    2019-05-24 01:07 - 2019-05-24 01:07 - 000000060 _____ C:\Users\User\README.txt
    2019-05-24 01:07 - 2019-05-24 01:07 - 000000060 _____ C:\Users\User\Downloads\README.txt
    2019-05-24 01:07 - 2019-05-24 01:07 - 000000060 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-05-24 01:07 - 2019-05-24 01:07 - 000000060 _____ C:\Users\User\AppData\Local\README.txt
    2019-05-24 01:07 - 2019-05-24 01:07 - 000000060 _____ C:\Users\README.txt
    2019-05-24 01:07 - 2019-05-24 01:07 - 000000060 _____ C:\README.txt
    2019-05-24 01:06 - 2019-05-24 01:07 - 000000060 _____ C:\Users\User\Documents\README.txt
    2019-05-24 01:06 - 2019-05-24 01:06 - 000000060 _____ C:\Users\User\Desktop\README.txt
    2019-05-24 01:06 - 2019-05-24 01:06 - 000000060 _____ C:\Users\User\AppData\Roaming\README.txt
    2019-05-24 01:06 - 2019-05-24 01:06 - 000000060 _____ C:\Users\SMD\README.txt
    2019-05-24 01:06 - 2019-05-24 01:06 - 000000060 _____ C:\Users\SMD\Downloads\README.txt
    2019-05-24 01:06 - 2019-05-24 01:06 - 000000060 _____ C:\Users\SMD\Documents\README.txt
    2019-05-24 01:06 - 2019-05-24 01:06 - 000000060 _____ C:\Users\SMD\Desktop\README.txt
    2019-05-24 01:06 - 2019-05-24 01:06 - 000000060 _____ C:\Users\SMD\AppData\Roaming\README.txt
    2019-05-24 01:06 - 2019-05-24 01:06 - 000000060 _____ C:\Users\SMD\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-05-24 01:06 - 2019-05-24 01:06 - 000000060 _____ C:\Users\SMD\AppData\Local\README.txt
    2019-05-24 01:06 - 2019-05-24 01:06 - 000000060 _____ C:\Users\Public\README.txt
    2019-05-24 01:06 - 2019-05-24 01:06 - 000000060 _____ C:\Users\Public\Downloads\README.txt
    2019-05-24 01:06 - 2019-05-24 01:06 - 000000060 _____ C:\Users\Default\README.txt
    2019-05-24 01:06 - 2019-05-24 01:06 - 000000060 _____ C:\Users\Default\Downloads\README.txt
    2019-05-24 01:06 - 2019-05-24 01:06 - 000000060 _____ C:\Users\Default\Documents\README.txt
    2019-05-24 01:06 - 2019-05-24 01:06 - 000000060 _____ C:\Users\Default\Desktop\README.txt
    2019-05-24 01:06 - 2019-05-24 01:06 - 000000060 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-05-24 01:06 - 2019-05-24 01:06 - 000000060 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-05-24 01:06 - 2019-05-24 01:06 - 000000060 _____ C:\Users\Default\AppData\Local\README.txt
    2019-05-24 01:06 - 2019-05-24 01:06 - 000000060 _____ C:\Users\Default User\Downloads\README.txt
    2019-05-24 01:06 - 2019-05-24 01:06 - 000000060 _____ C:\Users\Default User\Documents\README.txt
    2019-05-24 01:06 - 2019-05-24 01:06 - 000000060 _____ C:\Users\Default User\Desktop\README.txt
    2019-05-24 01:06 - 2019-05-24 01:06 - 000000060 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-05-24 01:06 - 2019-05-24 01:06 - 000000060 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-05-24 01:06 - 2019-05-24 01:06 - 000000060 _____ C:\Users\Default User\AppData\Local\README.txt
    2019-05-24 00:44 - 2019-05-24 01:07 - 000000060 _____ C:\Users\Public\Documents\README.txt
    2019-05-24 00:44 - 2019-05-24 01:07 - 000000060 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-05-24 00:43 - 2019-05-24 01:07 - 000000060 _____ C:\Users\Все пользователи\README.txt
    2019-05-24 00:43 - 2019-05-24 01:07 - 000000060 _____ C:\ProgramData\README.txt
    2019-05-24 00:43 - 2019-05-24 00:43 - 000000060 _____ C:\Program Files (x86)\README.txt
    2019-05-24 00:41 - 2019-05-24 00:41 - 000000060 _____ C:\Program Files\README.txt
    2019-05-24 00:33 - 2019-05-24 00:33 - 000000060 _____ C:\Program Files\Common Files\README.txt
    2019-05-24 00:41 - 2019-05-24 00:41 - 000000060 _____ () C:\Program Files\README.txt
    2019-05-24 00:43 - 2019-05-24 00:43 - 000000060 _____ () C:\Program Files (x86)\README.txt
    2019-05-24 00:33 - 2019-05-24 00:33 - 000000060 _____ () C:\Program Files\Common Files\README.txt
    2019-05-24 00:42 - 2019-05-24 00:42 - 000000060 _____ () C:\Program Files (x86)\Common Files\README.txt
    2019-05-24 01:06 - 2019-05-24 01:06 - 000000060 _____ () C:\Users\User\AppData\Roaming\README.txt
    2019-05-24 01:07 - 2019-05-24 01:07 - 000000060 _____ () C:\Users\User\AppData\Local\README.txt
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


По поводу расшифровки, cryakl версии 1.3 не поддается пока расшифровке, если есть возможность восстановите данные из бекапов.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,512
Реакции
2,480
Баллы
593
C:\Users\User\Desktop\anvirrus.exe заархивируйте с паролем virus и прикрепите к следующему сообщению. Судя по ночному времени его появления это может быть сам шифратор.

C:\Users\SMD\Desktop\DesktopLocker.ini
C:\Users\SMD\Desktop\Desktop_Locker.exe
это тоже под снос
 
  • Like
Реакции: akok

lumberjack

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
Скопировал скрипт, сделал фикс, далее перезагрузка. Теперь комп вообще не появляется в сети, даже среди клиентов WiFi вроде его нет. У меня к нему доступ только по удалёнке. Смогу посмотреть, что там только, когда рядом кто-то будет с компом.
Может всё-таки шифровальщик что-то поломал из системных файлов?
Насчёт SSH, я его сам ставил.
И ncap поставился, когда wireshark ставил. Давно уже.
 

akok

Команда форума
Администратор
Сообщения
16,852
Реакции
13,213
Баллы
2,203
Если сразу работало, то не должно.
 

akok

Команда форума
Администратор
Сообщения
16,852
Реакции
13,213
Баллы
2,203
Скорее всего виновата перезагрузка после работы скрипта.
 

lumberjack

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
После заражения ещё ни разу не перезагружал, кстати.
Ок, спасибо. Теперь надо ждать, когда кто-то будет у компа.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,512
Реакции
2,480
Баллы
593
C:\Users\User\Desktop\anvirrus.exe заархивируйте с паролем virus и прикрепите к следующему сообщению. Судя по ночному времени его появления это может быть сам шифратор.
Посмотрел на имя этого файла - скорее все-таки это обычный AnVir Task Manager. Но он явно был установлен злодеями.

Также попробуйте проверить, является ли EC79-F3DB серийным номером логического диска С на данной машине.
 

lumberjack

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
Насчёт AnVir, я какой-то одноразовый проверщик ставил уже после взлома, погуглив. Может как раз его. Сейчас не могу посмотреть. Или он точно не подходит для целей проверки?
Серийный номер проверю, как запущу.
 

akok

Команда форума
Администратор
Сообщения
16,852
Реакции
13,213
Баллы
2,203
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу