Перейти к содержанию

Шифровальщик. Коронавирус на компьютере.


Рекомендуемые сообщения

По моему поймали новый шифровальщик по RDP. Шифрует файлы и ставит расширения .NcOv (кодовое название коронавирусов).

Помогите расшифровать.

Прикладываю архив с исходным и зашифрованным файлом.

Пароль к архиву: 123

Install.7z

Ссылка на сообщение
Поделиться на другие сайты

Похоже поймали новый шифровальщик по RDP. Шифрует файлы и ставит расширения .NcOv (2019-nCoV - кодовое название коронавируса).


Помогите расшифровать файлы.


Прикладываю результат AutoLogger и архив с исходным и зашифрованным файлом (пароль к архиву: 123)


 


Сообщение от модератора thyrex
Темы объединены

CollectionLog-2020.02.15-13.40.zip

Install.7z

Ссылка на сообщение
Поделиться на другие сайты

Логи собирали на компьютере, ставшем источником шифрования?

Нет. Мы его пока изолировали так как любой записанный файл сразу шифруется

Ссылка на сообщение
Поделиться на другие сайты

Тогда эти логи бесполезны. Равно как и по предоставленной паре файлов гадать, что за шифратор у Вас работает.

Ссылка на сообщение
Поделиться на другие сайты

Тогда эти логи бесполезны. Равно как и по предоставленной паре файлов гадать, что за шифратор у Вас работает.

Ясно. Попробую собрать лог. А если операционку загрузить в безопасном режиме сборщик логов (AutoLogger) сработает?

Ссылка на сообщение
Поделиться на другие сайты

 

 


А если операционку загрузить в безопасном режиме сборщик логов (AutoLogger) сработает?

 

Сработает. Проблемную машину изолировали после или во время процесса шифрования?

Ссылка на сообщение
Поделиться на другие сайты

 

А если операционку загрузить в безопасном режиме сборщик логов (AutoLogger) сработает?

 

Сработает. Проблемную машину изолировали после или во время процесса шифрования?

 

Во время. Вирус там еще жив - вставляя любую флешку она сразу шифруется

Ссылка на сообщение
Поделиться на другие сайты
  • 7 months later...

У   меня   вирус   тоже   зашифровал   в   документах   важные   кодовые    слова.Занимается   один   мастер   расшифровкой,пока   безуспешно.Вирус--апокалипсес(apocalypse).Где  же   супер-спецы   по  расшифровке  у  нас?Или   мастера   только  антивирусы  рекламировать   для   продажи?

Ссылка на сообщение
Поделиться на другие сайты

@irinaandrusenko, здравствуйте!

 

В этом разделе действуют определённые правила. Создайте свою тему и выполните Порядок оформления запроса о помощи

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Anatoliy  Murtazin
      От Anatoliy Murtazin
      сервер поймал шифровальщика, пример заражённого файла   
      TeamViewerQS.exe.id-8216B2FD.[bitcoin@email.tg].ncov
      Samsung_SCX-4x24_Series_Scan.exe.id-8216B2FD.[bitcoin@email.tg].ncov
      есть ли лекарство от него???
      премного благодарен, в серваке документы отдела закупок , я их уже обрадовал что шансов нет   , но все же...

      забыл файлы приложить

      AutoLogger-test  

      поставил самантек, он нашел в учётке вирусню, через которую и заполз вирус. C:\Users\elizovo\AppData\Roaming\ . он его детектировал как Ransom.Crysis
      он пока сидит в него в карантине, если он поможет при восстановлении файлов, могу выслать, или что можно сделать.

      скрин
      Addition.rar
      FRST.rar
      CollectionLog-2020.03.10-11.39.zip

    • alexshav
      От alexshav
      Добрый день!
      Увидел на диске файлы с расширением 
      [bitcoin@email.tg].ncov
      Выключил комп, пока не пойму откуда произошло заражение и шифрование.
      В режиме восстановления утилитой FRST собрал лог, прикрепил.
      Дальше не пойму как действовать, какой утилитой все попробовать удалить... На компьютере работает "Kaspersky Internet Security 2020", но есть ли у них помощь в удалении вирусов пока тоже не понял.

      Извиняюсь сразу не прикрепит логи, исправляюсь
      FRST.txt
      CollectionLog-2020.04.01-16.44.zip
    • Archi112
      От Archi112
      Добрый день. Прошу помощи. Зашифрованными оказались файлы личного архива. А именно фото детей, жены, собственные фото, документы Word, Excel, PDF. Многое уже не существует на бумаге и не восстановить, а фото только на компьютере в единственном экземпляре. Скачал файл "Ключи активации на 365.zip". Файла с текстом вымогательства не имею.
      Прикрепляю файл протоколов, если получиться. Помогите, пожалуйста, добрые люди.
      CollectionLog-2020.03.31-23.25.zip
    • Станислав Абелев
      От Станислав Абелев
      сервер поймал шифровальщика, логи прикрепляю
      заранее спасибо!
      CollectionLog-2020.03.10-16.54.zip
    • Alexander Kartashov
      От Alexander Kartashov
      Помогите узнать\понять, возможно ли расшифровать хоть каике-то данные?
       
       
      Приложил
       
       
       
      thyrex сказал(а) 24 Фев 2020 - 22:28:
       
      Прикрепил
      https://drive.google...ujidp1UbrQp-FNo
       
       
       
       
       
       
      thyrex сказал(а) 25 Фев 2020 - 22:08:
       
      Цитирую:
       
      SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17] WebSite: www.safezone.cc DateLog: 31.03.2020 13:58:09 Path starting: C:\Users\adm\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: adm VersionXML: 7.36is-30.03.2020 ___________________________________________________________________________   Windows 10(6.3.18363) (x64) Professional Версия: 1909 Lang: Russian(0419) Дата установки ОС: 06.03.2020 22:59:48 Статус лицензии: Windows®, Professional edition Windows находится в режиме уведомления Статус лицензии: Office 16, Office16ProPlusVL_KMS_Client edition Срок окончания начального льготного периода: 8163 мин. Режим загрузки: Normal Браузер по умолчанию: Internet Explorer (C:\Program Files\Internet Explorer\iexplore.exe) Системный диск: C: ФС: [NTFS] Емкость: [111.2 Гб] Занято: [70.9 Гб] Свободно: [40.3 Гб] ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.719.18362.0 Контроль учётных записей пользователя включен (Уровень 3) Центр обеспечения безопасности (wscsvc) - Служба работает Удаленный реестр (RemoteRegistry) - Служба остановлена Обнаружение SSDP (SSDPSRV) - Служба работает Службы удаленных рабочих столов (TermService) - Служба работает Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена Восстановление системы отключено ------------------------------ [ MS Office ] ------------------------------ Microsoft Office 2016 x64 v.16.0.4266.1001 ---------------------------- [ Antivirus_WMI ] ---------------------------- Windows Defender (включен и обновлен) --------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Защитника Windows (mpssvc) - Служба работает Отключен общий профиль Брандмауэра Windows Отключен частный профиль Брандмауэра Windows --------------------------- [ AntiSpyware_WMI ] --------------------------- Windows Defender (включен и обновлен) --------------------------- [ OtherUtilities ] ---------------------------- Foxit Reader v.9.0.0.29935 Внимание! Скачать обновления ^Локализованные версии могут обновляться позже англоязычных!^ K-Lite Mega Codec Pack 14.7.5 v.14.7.5 Внимание! Скачать обновления -------------------------------- [ Arch ] --------------------------------- WinRAR 4.10 (64-разрядная) v.4.10.0 Внимание! Скачать обновления --------------------------------- [ SPY ] --------------------------------- UltraVnc v.1.2.2.4 Внимание! Программа удаленного доступа! ------------------------------- [ Browser ] ------------------------------- Google Chrome v.80.0.3987.149 ------------------ [ AntivirusFirewallProcessServices ] ------------------- C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2003.8-0\MsMpEng.exe v.4.18.2003.8 C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2003.8-0\NisSrv.exe v.4.18.2003.8 Антивирусная программа "Защитника Windows" (WinDefend) - Служба работает Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба работает ---------------------------- [ UnwantedApps ] ----------------------------- SpyHunter 5 v.5.8.10.170 Внимание! Подозрение на демо-версию антишпионской программы, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. SpyHunter 5 Kernel Monitor (ShMonitor) - Служба работает C:\Program Files\EnigmaSoft\SpyHunter\ShMonitor.exe v.5.8.10.170 C:\Program Files\EnigmaSoft\SpyHunter\SpyHunter5.exe v.5.8.10.170 C:\Program Files\EnigmaSoft\SpyHunter\ShKernel.exe v.5.8.10.170 ----------------------------- [ End of Log ] ------------------------------   
×
×
  • Создать...