Перейти к содержанию

Шифровальщик Omerta

a.airat32
 Поделиться

Рекомендуемые сообщения

a.airat32 Новичок

a.airat32

Опубликовано
Опубликовано (изменено)

Вирус зашифровал все документы на компьютере и переименовал их

Прикрепленные файлы

 

CollectionLog-2018.08.06-12.30.zip

инструкция и пример файла.rar

Изменено пользователем a.airat32
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано (изменено)

С рассшифровкой помочь не сможем, только почистить хвосты.

 

"Пофиксите" в HijackThis:

O4 - HKCU\..\Run: [rlxov] = C:\Windows\system32\notepad.exe "C:\Users\Администратор\Инструкция по расшифровке файлов.TXT"

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

+ В присланном Вами файле с расширением .omerta просто переименованное сообщение вымогателей для связи. Пришлите в архиве пример другого зашифрованного файла.

Ссылка на комментарий
Поделиться на другие сайты
a.airat32 Новичок

a.airat32

Опубликовано
  • Автор
Опубликовано

Прикладываю файлы как и просили. и еще подскажите по какой причине у нас зашифровались файлы может это видно в логах. Спасибо.


перезалил другой файл

Addition.txt

FRST.txt

MHTeFmRnb~-G#.rar

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

 

 


Пришлите в архиве пример другого зашифрованного файла.
это тоже сделайте.

 

+ вижу у вас хвосты от Doctor Web это CureiT использовали или раньше был установлен? Если второе, то желательно вычистить от его хвостов. И если есть лицензия на них, то обратиться в их тех. поддержку (а вдруг смогут рассшифровать?).

Если есть лицензия на KES, создайте запрос на расшифровку.

 

+

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
CreateRestorePoint:
FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC-EndPointMapper] => (Allow) %systemroot%\system32\scshost.exe
FirewallRules: [{4B1E7A1C-A328-4D67-B2EA-4E3235728ED9}] => (Allow) %systemroot%\system32\scshost.exe
FirewallRules: [{8EFF52FC-044A-4B4B-B89E-3771AAD46E73}] => (Allow) %systemroot%\system32\scshost.exe
2018-07-13 03:00 - 2018-07-13 03:00 - 000003554 _____ C:\Users\Администратор\Downloads\Инструкция по расшифровке файлов.TXT
2018-07-13 03:00 - 2018-07-13 03:00 - 000003554 _____ C:\Users\Администратор\Documents\Инструкция по расшифровке файлов.TXT
2018-07-13 02:55 - 2018-07-13 03:01 - 000003554 _____ C:\Users\Администратор\Инструкция по расшифровке файлов.TXT
2018-07-13 02:55 - 2018-07-13 03:01 - 000003554 _____ C:\Users\Администратор\Desktop\Инструкция по расшифровке файлов.TXT
2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\Инструкция по расшифровке файлов.TXT
2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\TEMP\Инструкция по расшифровке файлов.TXT
2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\TEMP.CROWN\Инструкция по расшифровке файлов.TXT
2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\TEMP.CROWN.000\Инструкция по расшифровке файлов.TXT
2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\Public\Инструкция по расшифровке файлов.TXT
2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\Public\Downloads\Инструкция по расшифровке файлов.TXT
2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\Public\Documents\Инструкция по расшифровке файлов.TXT
2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\admin\Инструкция по расшифровке файлов.TXT
2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\admin\Downloads\Инструкция по расшифровке файлов.TXT
2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\admin\Documents\Инструкция по расшифровке файлов.TXT
2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\admin\Desktop\Инструкция по расшифровке файлов.TXT
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.
Ссылка на комментарий
Поделиться на другие сайты
a.airat32 Новичок

a.airat32

Опубликовано
  • Автор
Опубликовано

Приклепил


+ В присланном Вами файле с расширением .omerta просто переименованное сообщение вымогателей для связи. Пришлите в архиве пример другого зашифрованного файла.

Как вы это поняли?


файл работы программы


пример зашифрованного файла

Fixlog.txt

Fixlog.txt

MHTeFmRnb~-G#.rar

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

 

 


и еще подскажите по какой причине у нас зашифровались файлы может это видно в логах
шифрование шло ночью. Значит был вход по RDP. Пароль от него смените.

 


Как вы это поняли?

просто открыл содержимое. Да и размер у него с точностью до байта совпадает с размером файла от вымогателей для связи.

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

@a.airat32, имейте элементарное терпение. Мы тут помогаем в своё личное свободное время, когда не заняты работой и другими делами. И помогаем ещё и на других форумах. Так что требовать, чтобы через пять минут после вашего поста вам писали ответ это верх нахальства.

 

Тем более по делу всё уже выше было написано. Только добавлю

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
  • 1 месяц спустя...
snip_cs@list.ru Новичок

snip_cs@list.ru

Опубликовано
Опубликовано

Вот приложил небольшой файл (оригинал и зашифрованный вариант)

Если есть вариант дешифровки буду очень рад, 
так как я целый диск законсервировал в ожидании восстановить все зашифрованные файлы.

Пара.rar

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

@snip_cs@list.ru, не пишите в чужой теме.

Порядок оформления запроса о помощи

Особенно внимательно пункт №3 прочитайте.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Игорь_Белов
      Шифровальщик AES
      Автор Игорь_Белов
      Доброго времени суток. 
      Прошу помощи, словил вирус шифровальщик, недавно созданный сервер для теста 1с, поймал вирус, файлы баз данных зашифровались. 
      Прошу помочь в определение вируса, по возможности расшифровать. И как его побороть.
       
      scan.zip
    • __Михаил__
      Шифровальщик IxehUe8Rg
      Автор __Михаил__
      Добрый! 
      Пожалуйста, помогите расшифровать файлы на компьютере.
      Шифровальщик IxehUe8Rg.
      Файлы образцы и требование выкупа во вложении.
      Анализ_2.xlsx.rar
       
      Я так понимаю это CriptomanGizmo и с ним проблема.
      У меня есть несколько копий файлов не зашифрованных , с другого устройства.
      Может это поможет?
    • Stanislav42
      шифровальщик .Elons
      Автор Stanislav42
      Добрый день! Пострадало несколько windows-устройств от действий шифровальщика и вымогает за расшифровку деньги.
      Прошу оказать помощь в расшифровке файлов.
      Отправляю архив с образцами файлов и с текстом требований, а также логи FRST.
      Шифрование произошло в ночное время. Журнал событий Windows очищен. Устройства перезагружались.
      Системы изолированы на данный момент. Исполняемый файл найден и подготовлен к отправке. 
      образцы файлов.zip Addition.txt FRST.txt
    • foroven
      Шифровальщик @FEAR.PW
      Автор foroven
      Добрый день. Схватили шифровальщика. Предположительно взломали подбором пароля к RDP. В сети Logs$files.7zна компьютере с установленным антивирусом Касперского, выдал предупреждение об атаке, брутфорс на порт 3389
    • KNS
      Помогите с шифровальщиком
      Автор KNS
      Добрый день. Поймал шифровальщика, система и 99% данных восстановлены из бэкапа.
      Не хватает нескольких файлов.

      Помогите с расшифровкой.

      Прикрепляю пример зашифрованного файла и записку о выкупе.

      Заранее благодарю!
      123.zip
×
×
  • Создать...