Перейти к содержанию

Вирус-шифровальщик GRYPHON RANSOMWARE


Рекомендуемые сообщения

Добрый день, являюсь действующим пользователем  KES 10 for Windows

Рассказываю о всем,  что случилось по порядку:

 

1)в пятницу 11/08/2017 освободил после рабочего дня был взломан по RDP компьютер

2)сегодня 14/08/2017 -   при входе в систему было открыто окно mouse locker и просило ввести пароль 

3)перезагрузил пароль и вышло сообщил в блокноте о требования 1 BTC за разблокировку с текстом:

 

============================== GRYPHON RANSOMWARE ==============================

 
Your documents, photos, databases and other important files have been encrypted
cryptographically strong, without the original key recovery is impossible!
To decrypt your files you need to buy the special software - "GRYPHON DECRYPTER"
Using another tools could corrupt your files, in case of using third party 
software we dont give guarantees that full recovery is possible so use it on 
your own risk.
 
If you want to restore files, write us to the e-mail: payfordecrypt@qq.com
In subject line write "encryption" and attach your ID in body of your message
also attach to email 3 crypted files. (files have to be less than 2 MB)
 
It is in your interest to respond as soon as possible to ensure the restoration
of your files, because we wont keep your decryption keys at our server more than
one week in interest of our security.
 
Only in case you do not receive a response from the first email address
withit 48 hours, please use this alternative email adress: crypthelp@qq.com
 
Your personal identification number:
 
Em3isyUPLDohYX8Osrj/kBiIRxo0OPPM4ygP4ZTsmv9yFFNISPzSr8hbby001BUl73/NS9IHa2ZRZ5LC
/pF2a4SN0/SN+wlQRBUUGbNvwLpp/AJ7EQM/yTg3aXf4P+G3/UBuEt/dOkrIYI54hnKaM4xv1Xg73jmchmzsVYhvPGQ=
 
============================== GRYPHON RANSOMWARE ==============================
 

посмотрел - все файлы на компьютере и все файлы на сетевых дисках зашифрованы и имеют формат

[payfordecrypt@qq.com].gryphon

 

4)Увидел что антивирус выключен и ключ удален  (KES 10 for Windows)

5)связался с вымогателями по почте они расшифровали один Фаил пример зашифрованного и расшифрованного файлов прилагаю

6)Выполнил проверку Kaspersky Virus Removal Tool 2015 - ничего не обнаружено

7)Логи с помощью AutoLogger собраны в приложении к теме

8)на всякий случай сделал логи программой Farbar Recovery Scan Tool (увидел в похожей теме https://forum.kasperskyclub.ru/index.php?showtopic=56686&hl=%2Bgryphon+%2Bransomware)

 

Прошу оказать помощь в расшифровке файлов

 

 

CollectionLog-2017.08.14-14.10.zip

Логи Farbar Recovery Scan Tool.zip

Пример зашифрованного и расшиврованного злоумышлиниками файла.zip

Ссылка на комментарий
Поделиться на другие сайты

Нет расшифровки этого варианта BTCware. Будет только зачистка мусора.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2017-08-11 17:38 - 2017-08-11 21:28 - 000001381 _____ C:\Users\usee\AppData\Roaming\!## DECRYPT FILES ##!.txt
2017-08-11 17:38 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Default\AppData\Roaming\!## DECRYPT FILES ##!.txt
2017-08-11 17:38 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Default User\AppData\Roaming\!## DECRYPT FILES ##!.txt
2017-08-11 17:32 - 2017-08-11 21:28 - 000001381 _____ C:\Users\usee\AppData\Roaming\Microsoft\Windows\Start Menu\!## DECRYPT FILES ##!.txt
2017-08-11 17:32 - 2017-08-11 21:28 - 000001381 _____ C:\Users\usee\!## DECRYPT FILES ##!.txt
2017-08-11 17:30 - 2017-08-11 21:28 - 000001381 _____ C:\Users\usee\Downloads\!## DECRYPT FILES ##!.txt
2017-08-11 17:30 - 2017-08-11 21:28 - 000001381 _____ C:\Users\usee\AppData\Local\!## DECRYPT FILES ##!.txt
2017-08-11 17:30 - 2017-08-11 21:27 - 000001381 _____ C:\Program Files (x86)\!## DECRYPT FILES ##!.txt
2017-08-11 17:29 - 2017-08-11 21:28 - 000001381 _____ C:\Users\usee\Documents\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\usee\Desktop\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Public\Downloads\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Public\Documents\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Public\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Default\Documents\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Default\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Default User\Documents\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\!## DECRYPT FILES ##!.txt
2017-08-11 17:28 - 2017-08-11 21:28 - 000001381 _____ C:\Users\!## DECRYPT FILES ##!.txt
2017-08-11 17:27 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Все пользователи\!## DECRYPT FILES ##!.txt
2017-08-11 17:27 - 2017-08-11 21:28 - 000001381 _____ C:\Users\Public\Desktop\!## DECRYPT FILES ##!.txt
2017-08-11 17:27 - 2017-08-11 21:28 - 000001381 _____ C:\ProgramData\!## DECRYPT FILES ##!.txt
2017-08-11 17:27 - 2017-08-11 21:27 - 000001381 _____ C:\Program Files\!## DECRYPT FILES ##!.txt
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-2124135430-2263378318-2894744399-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Warlocktv
      Автор Warlocktv
      Добрый день,
      Через RDP словили шифровальщик Phobos (на основании ID Ransomware https://id-ransomware.malwarehunterteam.com/identify.php?case=52c4281ece07330467137e30a150ae4130e52132).
      Отчеты Recorded Future Triangle https://tria.ge/241216-tdxdrsvpek и Joe Sand Cloud https://www.joesandbox.com/analysis/1576226/1/executive.
      Зараженные системы удалены. Остались зараженные файлы которые требуется дешифровать. Необходима помощь. В архиве два зараженных файла и сообщения от шифровальщиков.Encrypted.zip
    • Aleks yakov
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
    • AlexYarm
      Автор AlexYarm
      Зашифровались файлы. Расширение файлов hardbit4. Прилагаю необходимые архивы. Прошу помочь с расшифровкой.
      Hardbit4Virus.zip
    • Aleksandr Korolev
      Автор Aleksandr Korolev
      Добрый день. Недавно взломали RDP одного из рабочих пк, и через него зашифровали данные NAS , попробовали выкупить, сбросили только exe и ключи, расшифровывает, но работает дешифровщик секунд 10, второй раз запустить нельзя , блокируется. Можно ли что то с ним сделать? Сам дешифровшик тоже как вирус , потому что много изменений в реестр вносит , прилагаю файл изменений которые он вносит , сам exe и ключи user id и второй ключvirus.rarНовый текстовый документ.txt#README-TO-DECRYPT-FILES.txt
    • vasia15
      Автор vasia15
      вирус блокирует возможность скачать антивирус,все программы заполняет кракозябрами,установить нет возможности.прошу помощи.сам не справляюсь.
×
×
  • Создать...