btcware Вирус-шифровальщик GRYPHON RANSOMWARE

[horizonperm@Mail.ru]

Добрый день, являюсь действующим пользователем  KES 10 for Windows

Рассказываю о всем,  что случилось по порядку:

 

1)в пятницу 11/08/2017 освободил после рабочего дня был взломан по RDP компьютер

2)сегодня 14/08/2017 -   при входе в систему было открыто окно mouse locker и просило ввести пароль 

3)перезагрузил пароль и вышло сообщил в блокноте о требования 1 BTC за разблокировку с текстом:

 

============================== GRYPHON RANSOMWARE ==============================

 

Your documents, photos, databases and other important files have been encrypted

cryptographically strong, without the original key recovery is impossible!

To decrypt your files you need to buy the special software - "GRYPHON DECRYPTER"

Using another tools could corrupt your files, in case of using third party 

software we dont give guarantees that full recovery is possible so use it on 

your own risk.

 

If you want to restore files, write us to the e-mail: payfordecrypt@qq.com

In subject line write "encryption" and attach your ID in body of your message

also attach to email 3 crypted files. (files have to be less than 2 MB)

 

It is in your interest to respond as soon as possible to ensure the restoration

of your files, because we wont keep your decryption keys at our server more than

one week in interest of our security.

 

Only in case you do not receive a response from the first email address

withit 48 hours, please use this alternative email adress: crypthelp@qq.com

 

Your personal identification number:

 

Em3isyUPLDohYX8Osrj/kBiIRxo0OPPM4ygP4ZTsmv9yFFNISPzSr8hbby001BUl73/NS9IHa2ZRZ5LC

/pF2a4SN0/SN+wlQRBUUGbNvwLpp/AJ7EQM/yTg3aXf4P+G3/UBuEt/dOkrIYI54hnKaM4xv1Xg73jmchmzsVYhvPGQ=

 

============================== GRYPHON RANSOMWARE ==============================

 

посмотрел - все файлы на компьютере и все файлы на сетевых дисках зашифрованы и имеют формат

[payfordecrypt@qq.com].gryphon

 

4)Увидел что антивирус выключен и ключ удален  (KES 10 for Windows)

5)связался с вымогателями по почте они расшифровали один Фаил пример зашифрованного и расшифрованного файлов прилагаю

6)Выполнил проверку Kaspersky Virus Removal Tool 2015 - ничего не обнаружено

7)Логи с помощью AutoLogger собраны в приложении к теме

8)на всякий случай сделал логи программой Farbar Recovery Scan Tool (увидел в похожей теме https://forum.kasperskyclub.ru/index.php?showtopic=56686&hl=%2Bgryphon+%2Bransomware)

 

Прошу оказать помощь в расшифровке файлов

 

 

CollectionLog-2017.08.14-14.10.zip

Логи Farbar Recovery Scan Tool.zip

Пример зашифрованного и расшиврованного злоумышлиниками файла.zip

[thyrex]

Нет расшифровки этого варианта BTCware. Будет только зачистка мусора.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2017-08-11 17:38 - 2017-08-11 21:28 - 000001381 _____ C:\Users\usee\AppData\Roaming\!## DECRYPT FILES ##!.txt
2017-08-11 17:38 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Default\AppData\Roaming\!## DECRYPT FILES ##!.txt
2017-08-11 17:38 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Default User\AppData\Roaming\!## DECRYPT FILES ##!.txt
2017-08-11 17:32 - 2017-08-11 21:28 - 000001381 _____ C:\Users\usee\AppData\Roaming\Microsoft\Windows\Start Menu\!## DECRYPT FILES ##!.txt
2017-08-11 17:32 - 2017-08-11 21:28 - 000001381 _____ C:\Users\usee\!## DECRYPT FILES ##!.txt
2017-08-11 17:30 - 2017-08-11 21:28 - 000001381 _____ C:\Users\usee\Downloads\!## DECRYPT FILES ##!.txt
2017-08-11 17:30 - 2017-08-11 21:28 - 000001381 _____ C:\Users\usee\AppData\Local\!## DECRYPT FILES ##!.txt
2017-08-11 17:30 - 2017-08-11 21:27 - 000001381 _____ C:\Program Files (x86)\!## DECRYPT FILES ##!.txt
2017-08-11 17:29 - 2017-08-11 21:28 - 000001381 _____ C:\Users\usee\Documents\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\usee\Desktop\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Public\Downloads\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Public\Documents\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Public\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Default\Documents\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Default\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Default User\Documents\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\!## DECRYPT FILES ##!.txt
2017-08-11 17:27 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Все пользователи\!## DECRYPT FILES ##!.txt
2017-08-11 17:27 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Public\Desktop\!## DECRYPT FILES ##!.txt
2017-08-11 17:27 - 2017-08-11 21:28 - 000001381 _____ C:\ProgramData\!## DECRYPT FILES ##!.txt
2017-08-11 17:27 - 2017-08-11 21:27 - 000001381 _____ C:\Program Files\!## DECRYPT FILES ##!.txt
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-2124135430-2263378318-2894744399-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.