Отключен JavaScript

У вас отключен JavaScript. Некоторые возможности системы не будут работать. Пожалуйста, включите JavaScript для получения доступа ко всем функциям.

Вирус-шифровальщик GRYPHON RANSOMWARE

Автор horizonperm@Mail.ru , 14 авг 2017 12:25

GRYPHON шифровальщик

Друзья!

В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

Авторизуйтесь для ответа в теме

В теме одно сообщение

#1 OFF horizonperm@Mail.ru

Новичок

Новички
Cообщений: 1

Отправлено 14 Август 2017 - 12:25

Добрый день, являюсь действующим пользователем KES 10 for Windows

Рассказываю о всем, что случилось по порядку:

1)в пятницу 11/08/2017 освободил после рабочего дня был взломан по RDP компьютер

2)сегодня 14/08/2017 - при входе в систему было открыто окно mouse locker и просило ввести пароль

3)перезагрузил пароль и вышло сообщил в блокноте о требования 1 BTC за разблокировку с текстом:

============================== GRYPHON RANSOMWARE ==============================

Your documents, photos, databases and other important files have been encrypted

cryptographically strong, without the original key recovery is impossible!

To decrypt your files you need to buy the special software - "GRYPHON DECRYPTER"

Using another tools could corrupt your files, in case of using third party

software we dont give guarantees that full recovery is possible so use it on

your own risk.

If you want to restore files, write us to the e-mail: payfordecrypt@qq.com

In subject line write "encryption" and attach your ID in body of your message

also attach to email 3 crypted files. (files have to be less than 2 MB)

It is in your interest to respond as soon as possible to ensure the restoration

of your files, because we wont keep your decryption keys at our server more than

one week in interest of our security.

Only in case you do not receive a response from the first email address

withit 48 hours, please use this alternative email adress: crypthelp@qq.com

Your personal identification number:

Em3isyUPLDohYX8Osrj/kBiIRxo0OPPM4ygP4ZTsmv9yFFNISPzSr8hbby001BUl73/NS9IHa2ZRZ5LC

/pF2a4SN0/SN+wlQRBUUGbNvwLpp/AJ7EQM/yTg3aXf4P+G3/UBuEt/dOkrIYI54hnKaM4xv1Xg73jmchmzsVYhvPGQ=

============================== GRYPHON RANSOMWARE ==============================

посмотрел - все файлы на компьютере и все файлы на сетевых дисках зашифрованы и имеют формат

[payfordecrypt@qq.com].gryphon

4)Увидел что антивирус выключен и ключ удален (KES 10 for Windows)

5)связался с вымогателями по почте они расшифровали один Фаил пример зашифрованного и расшифрованного файлов прилагаю

6)Выполнил проверку Kaspersky Virus Removal Tool 2015 - ничего не обнаружено

7)Логи с помощью AutoLogger собраны в приложении к теме

8)на всякий случай сделал логи программой Farbar Recovery Scan Tool (увидел в похожей теме https://forum.kasper...on +ransomware)

Прошу оказать помощь в расшифровке файлов

Прикрепленные файлы

CollectionLog-2017.08.14-14.10.zip 66,8К скачиваний 2
Логи Farbar Recovery Scan Tool.zip 31,11К скачиваний 2
Пример зашифрованного и расшиврованного злоумышлиниками файла.zip 1,46МБ скачиваний 0

0

Наверх

#2 OFF thyrex

Абориген

Модераторы
Консультанты
Cообщений: 14 481

Награды

Отправлено 14 Август 2017 - 20:22

Нет расшифровки этого варианта BTCware. Будет только зачистка мусора.

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2017-08-11 17:38 - 2017-08-11 21:28 - 000001381 _____ C:\Users\usee\AppData\Roaming\!## DECRYPT FILES ##!.txt
2017-08-11 17:38 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Default\AppData\Roaming\!## DECRYPT FILES ##!.txt
2017-08-11 17:38 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Default User\AppData\Roaming\!## DECRYPT FILES ##!.txt
2017-08-11 17:32 - 2017-08-11 21:28 - 000001381 _____ C:\Users\usee\AppData\Roaming\Microsoft\Windows\Start Menu\!## DECRYPT FILES ##!.txt
2017-08-11 17:32 - 2017-08-11 21:28 - 000001381 _____ C:\Users\usee\!## DECRYPT FILES ##!.txt
2017-08-11 17:30 - 2017-08-11 21:28 - 000001381 _____ C:\Users\usee\Downloads\!## DECRYPT FILES ##!.txt
2017-08-11 17:30 - 2017-08-11 21:28 - 000001381 _____ C:\Users\usee\AppData\Local\!## DECRYPT FILES ##!.txt
2017-08-11 17:30 - 2017-08-11 21:27 - 000001381 _____ C:\Program Files (x86)\!## DECRYPT FILES ##!.txt
2017-08-11 17:29 - 2017-08-11 21:28 - 000001381 _____ C:\Users\usee\Documents\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\usee\Desktop\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Public\Downloads\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Public\Documents\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Public\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Default\Documents\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Default\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Default User\Documents\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\!## DECRYPT FILES ##!.txt
2017-08-11 17:27 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Все пользователи\!## DECRYPT FILES ##!.txt
2017-08-11 17:27 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Public\Desktop\!## DECRYPT FILES ##!.txt
2017-08-11 17:27 - 2017-08-11 21:28 - 000001381 _____ C:\ProgramData\!## DECRYPT FILES ##!.txt
2017-08-11 17:27 - 2017-08-11 21:27 - 000001381 _____ C:\Program Files\!## DECRYPT FILES ##!.txt
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-2124135430-2263378318-2894744399-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

0

Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect

Антивирусная помощь

Наверх

Обратно в Уничтожение вирусов · Следующая непрочитанная тема →

Темы с аналогичными тегами: GRYPHON, шифровальщик

Помощь → Уничтожение вирусов → Вирус шифровальщик [bitcoin1@foxmail.com].harma Автор GregKorchak , 22 авг 2019 harma, шифровальщик	4 Ответов 172 Просмотров	GregKorchak 22 авг 2019
Помощь → Уничтожение вирусов → Шифровальщик. расширение *.HARMA Автор smartcomp , 02 авг 2019 Шифровальщик, расширение, HARMA	3 Ответов 531 Просмотров	Sandor 05 авг 2019
Помощь → Уничтожение вирусов → Вирус-шифровальшик crypted000007 Автор bor108 , 06 июл 2019 вмрус, шифровальщик и 1 еще...	1 Ответ 1 288 Просмотров	SQ 06 июл 2019
Помощь → Уничтожение вирусов → Шифровальщик mr.yoba@aol.com Автор DonLoader , 03 июл 2019 Шифровальщик	3 Ответов 999 Просмотров	DonLoader 03 июл 2019
Помощь → Уничтожение вирусов → Ransom, расширение файлов: doubleoffset. Автор hamaronooo , 02 июл 2019 doubleoffset, ransom, Атака и 6 еще...	6 Ответов 931 Просмотров	Sandor 02 июл 2019