После работы шифровальщика файлы с расширением Monkey865qqZ

**[email protected]** · 02.01.2020, 13:05

Добрый день!
Была атака вируса-шифровальщика. Зашифровались все файлы, имеют расширение Monkey865qqZ и записка о выкупе на адрес [email protected]
Логи собрать на данный момент не могу (не имею доступа), но остался сервер с следами вируса, не перезагруженный, боимся, что перезагрузим и больше не загрузится ОС, логи могу собрать завтра.
Есть ли возможность расшифровки?
Обращались с запросом в Доктор Веб, те сказали, что пока без вариантов.
Сказали, что вирус Trojan.Encoder.28773
Могу прикрепить файл зашифрованный и его начальное состояние до зашифровки.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 02.01.2020, 13:07

Уважаемый(ая) [email protected], спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**mike 1** · 02.01.2020, 16:18

Зашифрованный файл и записку с требованием выкупа пришлите.

**[email protected]** · 02.01.2020, 17:01

Сообщение от mike 1

Зашифрованный файл и записку с требованием выкупа пришлите.

https://yadi.sk/d/qYogSs17sBqobQ
разместила в облаке. Записка, только фото, она представлена в exe файле, если будет нужна попробую как нибудь доставить для исследования. Также поместила и исходник одного файла, который удалось найти.
Так же поместила фото тех программ, что удалось найти сразу как обнаружилась атака.

**mike 1** · 02.01.2020, 18:42

Перезагрузка при сканировании не нужна будет.

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**[email protected]** · 02.01.2020, 19:38

Спасибо, что помогаете.
Логи пришлю завтра утром.
Нет возможности в данный момент снять показания.

**[email protected]** · 03.01.2020, 09:53

Сообщение от mike 1

Перезагрузка при сканировании не нужна будет.

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Добрый день!
Под окном настроек опции Driver MD5 не было.
Логи, полученные прилагаем.
re.zip

**[email protected]** · 03.01.2020, 10:03

Не совсем поняла как прикреплять файлы. Вроде все сделала правильно, но сообщение не появилось, возможно идет проверка.
Продублировала на облачный диск.
https://yadi.sk/d/RmaJeInX6_uq4w
В опциях окна не было Drivers MD5.

**mike 1** · 04.01.2020, 00:54

Смените все пароли.

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.
Запустите FRST от имени Администратора.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
```
Folder: C:\Users\Administrator
```
Запустите FRST и нажмите один раз на кнопку Fix и подождите (может занять длительное время). Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

**[email protected]** · 04.01.2020, 06:02

Сервер изолирован и оставлен для разбирательств. Пароли менять смысла нет. Ему не дадут доступ в сеть.
Нас интересовал вопрос, возможно ли вернуть файлы, хотя бы те, что мы выслали ранее?
Подскажите, по логам, что Вы прочли?

**mike 1** · 04.01.2020, 13:32

Нас интересовал вопрос, возможно ли вернуть файлы, хотя бы те, что мы выслали ранее?

На данный момент нет. У Вас похоже свежая модификация этого https://www.bleepingcomputer.com/for...support-topic/ локера

Подскажите, по логам, что Вы прочли?

По логам видно, что заражение было 29 декабря примерно в 18:10. Еще видно, что искали другие уязвимые сервера/компьютеры в локальной сети.

**[email protected]** · 04.01.2020, 17:32

Спасибо Вам за помощь. Дальше думаю мы сами.

**mike 1** · 05.01.2020, 00:33

Если исполняемый файл самого шифровальщика найдете, то пришлите или загрузите сюда https://www.hybrid-analysis.com/

**[email protected]** · 05.01.2020, 16:38

Добрый день!
Загружаю в анализатор, но он крутит и вроде как не загружает, подожду немного, могу прислать в карантин.

**mike 1** · 05.01.2020, 17:32

Упакуйте тогда в zip архив с паролем virus и загрузите по красной ссылке вверху темы. Имя архиву задайте только не в кириллице.

**[email protected]** · 05.01.2020, 20:01

Загружено.

- - - - -Добавлено - - - - -

Прошу прощения, поторопилась с первым файлом, перепутала архив, удалите его. Загрузила второй с телом вируса.

**mike 1** · 06.01.2020, 18:12

Файл получил, спасибо.

**[email protected]** · 07.01.2020, 12:25

Добрый день!
Может быть поможет все зашифрованные файлы имеют в конце одинаковое количество символов.
https://yadi.sk/d/kUKBMFGV55G4qw
Нашла еще файл оригинальный, он не содержит добавленных строк.

**CyberHelper** · 07.01.2020, 12:35

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 2
=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 0
=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=
=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB =E2 =EA=E0=F0=E0=ED=F2=E8=ED=E0=F5 =ED=
=E5 =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB

После работы шифровальщика файлы с расширением Monkey865qqZ (заявка № 224282)

Опции темы