Перейти к содержанию

Рекомендуемые сообщения

Добрый день!

 

У нас удаленное подключение к немецкому серверу. На нем все файлы зашифрованы. Нашли блокнот со следующим текстом:

 

============================== GRYPHON RANSOMWARE ==============================
 
Your documents, photos, databases and other important files have been encrypted
cryptographically strong, without the original key recovery is impossible!
To decrypt your files you need to buy the special software - "GRYPHON DECRYPTER"
Using another tools could corrupt your files, in case of using third party 
software we dont give guarantees that full recovery is possible so use it on 
your own risk.
 
If you want to restore files, write us to the e-mail: garryhelpyou@qq.com
In subject line write "encryption" and attach your ID in body of your message
also attach to email 3 crypted files. (files have to be less than 2 MB)
 
It is in your interest to respond as soon as possible to ensure the restoration
of your files, because we wont keep your decryption keys at our server more than
one week in interest of our security.
 
Only in case you do not receive a response from the first email address
withit 48 hours, please use this alternative email adress: garrymagic@tutanota.com
 
Your personal identification number:
 
Cid2Y4hvvcTLSEXEsQZ+xyuml8L0c7rS4csEIJZTXCtApte5mYnGSeG/H/bHQlHIyd94PMsV44LWqD/3
kb5G9nxWljFnuhqiEVes6buYGydybGjNfk8ND7LLS3CEAbSPfGvXFUjZIfBe984IqXMaHNZGjyFC/MvMRkcdW7r6KGA=
 
============================== GRYPHON RANSOMWARE ==============================
 
Прошу помочь в расшифровке файлов!
Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • xamik
      От xamik
      Добрый день! Был заражен сервер вирусом "GRYPHON RANSOMWARE" 99% файлов оказались зашифрованы, так же было изменено расширение файлов на .[bagmet@india.com].gryphon
      Прилагаю файл с условиями дешифровки от создателей вируса (файл создан в каждой папке), зашифрованный файл, логи программы autoLogger

      Заранее спасибо за советы по дешифровке файлов!
      !## DECRYPT FILES ##!.txt
      User_for_1C.png.bagmet@india.com.zip
      CollectionLog-2017.08.18-17.09.zip
    • horizonperm@Mail.ru
      От horizonperm@Mail.ru
      Добрый день, являюсь действующим пользователем  KES 10 for Windows
      Рассказываю о всем,  что случилось по порядку:
       
      1)в пятницу 11/08/2017 освободил после рабочего дня был взломан по RDP компьютер
      2)сегодня 14/08/2017 -   при входе в систему было открыто окно mouse locker и просило ввести пароль 
      3)перезагрузил пароль и вышло сообщил в блокноте о требования 1 BTC за разблокировку с текстом:
       
      ============================== GRYPHON RANSOMWARE ==============================
        Your documents, photos, databases and other important files have been encrypted cryptographically strong, without the original key recovery is impossible! To decrypt your files you need to buy the special software - "GRYPHON DECRYPTER" Using another tools could corrupt your files, in case of using third party  software we dont give guarantees that full recovery is possible so use it on  your own risk.   If you want to restore files, write us to the e-mail: payfordecrypt@qq.com In subject line write "encryption" and attach your ID in body of your message also attach to email 3 crypted files. (files have to be less than 2 MB)   It is in your interest to respond as soon as possible to ensure the restoration of your files, because we wont keep your decryption keys at our server more than one week in interest of our security.   Only in case you do not receive a response from the first email address withit 48 hours, please use this alternative email adress: crypthelp@qq.com   Your personal identification number:   Em3isyUPLDohYX8Osrj/kBiIRxo0OPPM4ygP4ZTsmv9yFFNISPzSr8hbby001BUl73/NS9IHa2ZRZ5LC /pF2a4SN0/SN+wlQRBUUGbNvwLpp/AJ7EQM/yTg3aXf4P+G3/UBuEt/dOkrIYI54hnKaM4xv1Xg73jmchmzsVYhvPGQ=   ============================== GRYPHON RANSOMWARE ==============================   посмотрел - все файлы на компьютере и все файлы на сетевых дисках зашифрованы и имеют формат
      [payfordecrypt@qq.com].gryphon
       
      4)Увидел что антивирус выключен и ключ удален  (KES 10 for Windows)
      5)связался с вымогателями по почте они расшифровали один Фаил пример зашифрованного и расшифрованного файлов прилагаю
      6)Выполнил проверку Kaspersky Virus Removal Tool 2015 - ничего не обнаружено
      7)Логи с помощью AutoLogger собраны в приложении к теме
      8)на всякий случай сделал логи программой Farbar Recovery Scan Tool (увидел в похожей теме https://forum.kasperskyclub.ru/index.php?showtopic=56686&hl=%2Bgryphon+%2Bransomware)
       
      Прошу оказать помощь в расшифровке файлов
       
       
      CollectionLog-2017.08.14-14.10.zip
      Логи Farbar Recovery Scan Tool.zip
      Пример зашифрованного и расшиврованного злоумышлиниками файла.zip
    • korepanov
      От korepanov
      Проник на сервер и зашифровал все куда был доступ. Как он попал на сервер пока загадка.
      интересно что можно расшифровать текстовый файл !## DECRYPT FILES ##!.txt.id-7E89BC9F.[3048664056@qq.com].wallet утилитой esetcrysisdecryptor.exe
       
      в нем содержится 
       
      ============================== GRYPHON RANSOMWARE ==============================   Your documents, photos, databases and other important files have been encrypted cryptographically strong, without the original key recovery is impossible! To decrypt your files you need to buy the special software - "GRYPHON DECRYPTER" Using another tools could corrupt your files, in case of using third party  software we dont give guarantees that full recovery is possible so use it on  your own risk.   If you want to restore files, write us to the e-mail: bagmet@india.com In subject line write "encryption" and attach your ID in body of your message also attach to email 3 crypted files. (files have to be less than 2 MB)   It is in your interest to respond as soon as possible to ensure the restoration of your files, because we wont keep your decryption keys at our server more than one week in interest of our security.   Only in case you do not receive a response from the first email address withit 48 hours, please use this alternative email adress: markevich@gmx.com   Your personal identification number:   rQjtJcA04YaVYeZc7xOgxqJ1Pw+NvmUnzYM0kBtT+XJNLx9T30/+qLUDVeaUnkg58CCReQlde96jvP1C GVDQNkKgqQzHSPLkkMByBd8XaglAFcFykSeOfUNmPz/WsFDcqmiGOm9NtfniM97uqhXaiZYqFZ5driSryh+DfE3JYRM=   ============================== GRYPHON RANSOMWARE ==============================  
       
      CollectionLog-2017.08.10-20.44.zip
      filestyumen.zip
×
×
  • Создать...