Отключен JavaScript

У вас отключен JavaScript. Некоторые возможности системы не будут работать. Пожалуйста, включите JavaScript для получения доступа ко всем функциям.

Вирус-шифровальщик GRYPHON RANSOMWARE

Автор horizonperm@Mail.ru , 14 авг 2017 12:25

GRYPHON шифровальщик

Друзья!

В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

Авторизуйтесь для ответа в теме

В теме одно сообщение

#1 OFF horizonperm@Mail.ru

Новичок

Новички
Cообщений: 1

Отправлено 14 Август 2017 - 12:25

Добрый день, являюсь действующим пользователем KES 10 for Windows

Рассказываю о всем, что случилось по порядку:

1)в пятницу 11/08/2017 освободил после рабочего дня был взломан по RDP компьютер

2)сегодня 14/08/2017 - при входе в систему было открыто окно mouse locker и просило ввести пароль

3)перезагрузил пароль и вышло сообщил в блокноте о требования 1 BTC за разблокировку с текстом:

============================== GRYPHON RANSOMWARE ==============================

Your documents, photos, databases and other important files have been encrypted

cryptographically strong, without the original key recovery is impossible!

To decrypt your files you need to buy the special software - "GRYPHON DECRYPTER"

Using another tools could corrupt your files, in case of using third party

software we dont give guarantees that full recovery is possible so use it on

your own risk.

If you want to restore files, write us to the e-mail: payfordecrypt@qq.com

In subject line write "encryption" and attach your ID in body of your message

also attach to email 3 crypted files. (files have to be less than 2 MB)

It is in your interest to respond as soon as possible to ensure the restoration

of your files, because we wont keep your decryption keys at our server more than

one week in interest of our security.

Only in case you do not receive a response from the first email address

withit 48 hours, please use this alternative email adress: crypthelp@qq.com

Your personal identification number:

Em3isyUPLDohYX8Osrj/kBiIRxo0OPPM4ygP4ZTsmv9yFFNISPzSr8hbby001BUl73/NS9IHa2ZRZ5LC

/pF2a4SN0/SN+wlQRBUUGbNvwLpp/AJ7EQM/yTg3aXf4P+G3/UBuEt/dOkrIYI54hnKaM4xv1Xg73jmchmzsVYhvPGQ=

============================== GRYPHON RANSOMWARE ==============================

посмотрел - все файлы на компьютере и все файлы на сетевых дисках зашифрованы и имеют формат

[payfordecrypt@qq.com].gryphon

4)Увидел что антивирус выключен и ключ удален (KES 10 for Windows)

5)связался с вымогателями по почте они расшифровали один Фаил пример зашифрованного и расшифрованного файлов прилагаю

6)Выполнил проверку Kaspersky Virus Removal Tool 2015 - ничего не обнаружено

7)Логи с помощью AutoLogger собраны в приложении к теме

8)на всякий случай сделал логи программой Farbar Recovery Scan Tool (увидел в похожей теме https://forum.kasper...on +ransomware)

Прошу оказать помощь в расшифровке файлов

Прикрепленные файлы

CollectionLog-2017.08.14-14.10.zip 66,8К скачиваний 2
Логи Farbar Recovery Scan Tool.zip 31,11К скачиваний 2
Пример зашифрованного и расшиврованного злоумышлиниками файла.zip 1,46МБ скачиваний 0

0

Наверх

#2 OFF thyrex

Абориген

Модераторы
Консультанты
Cообщений: 14 668

Награды

Отправлено 14 Август 2017 - 20:22

Нет расшифровки этого варианта BTCware. Будет только зачистка мусора.

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2017-08-11 17:38 - 2017-08-11 21:28 - 000001381 _____ C:\Users\usee\AppData\Roaming\!## DECRYPT FILES ##!.txt
2017-08-11 17:38 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Default\AppData\Roaming\!## DECRYPT FILES ##!.txt
2017-08-11 17:38 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Default User\AppData\Roaming\!## DECRYPT FILES ##!.txt
2017-08-11 17:32 - 2017-08-11 21:28 - 000001381 _____ C:\Users\usee\AppData\Roaming\Microsoft\Windows\Start Menu\!## DECRYPT FILES ##!.txt
2017-08-11 17:32 - 2017-08-11 21:28 - 000001381 _____ C:\Users\usee\!## DECRYPT FILES ##!.txt
2017-08-11 17:30 - 2017-08-11 21:28 - 000001381 _____ C:\Users\usee\Downloads\!## DECRYPT FILES ##!.txt
2017-08-11 17:30 - 2017-08-11 21:28 - 000001381 _____ C:\Users\usee\AppData\Local\!## DECRYPT FILES ##!.txt
2017-08-11 17:30 - 2017-08-11 21:27 - 000001381 _____ C:\Program Files (x86)\!## DECRYPT FILES ##!.txt
2017-08-11 17:29 - 2017-08-11 21:28 - 000001381 _____ C:\Users\usee\Documents\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\usee\Desktop\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Public\Downloads\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Public\Documents\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Public\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Default\Documents\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Default\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Default User\Documents\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\!## DECRYPT FILES ##!.txt
2017-08-11 17:27 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Все пользователи\!## DECRYPT FILES ##!.txt
2017-08-11 17:27 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Public\Desktop\!## DECRYPT FILES ##!.txt
2017-08-11 17:27 - 2017-08-11 21:28 - 000001381 _____ C:\ProgramData\!## DECRYPT FILES ##!.txt
2017-08-11 17:27 - 2017-08-11 21:27 - 000001381 _____ C:\Program Files\!## DECRYPT FILES ##!.txt
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-2124135430-2263378318-2894744399-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

0

Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect

Антивирусная помощь

Наверх

Обратно в Уничтожение вирусов · Следующая непрочитанная тема →

Темы с аналогичными тегами: GRYPHON, шифровальщик

Помощь → Уничтожение вирусов → Шифровальщик [fixallfiles@tuta.io]ID=[ER5HPZOV3ND6BLC].odveta Автор Batyr , 11 окт 2019 Шифровальщик	6 Ответов 372 Просмотров	Batyr 12 окт 2019
Помощь → Уничтожение вирусов → Вирус шифровальщик Автор 3gr , 27 сен 2019 шифровальщик	5 Ответов 555 Просмотров	Sandor 28 сен 2019
Помощь → Уничтожение вирусов → Файл зашифрован .wannacash Автор Евгений Астрамович , 18 сен 2019 .wannacash, Шифровальщик и 1 еще...	10 Ответов 493 Просмотров	thyrex 21 сен 2019
Помощь → Уничтожение вирусов → Шифровальщик .acton Автор SirAlex , 16 сен 2019 .acton, шифровальщик, phobos	3 Ответов 351 Просмотров	thyrex 17 сен 2019
Помощь → Уничтожение вирусов → Шифровальщик Автор r0sl1y , 11 сен 2019 шифровальщик 1 2	19 Ответов 1 481 Просмотров	thyrex 28 сен 2019

Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных

Вирус-шифровальщик GRYPHON RANSOMWARE

Друзья!

#1 OFF horizonperm@Mail.ru

Прикрепленные файлы

#2 OFF thyrex

Награды

Темы с аналогичными тегами: GRYPHON, шифровальщик

Шифровальщик [fixallfiles@tuta.io]ID=[ER5HPZOV3ND6BLC].odveta

Вирус шифровальщик

Файл зашифрован .wannacash

Шифровальщик *.acton

Шифровальщик

Количество пользователей, читающих эту тему: 0

Войти