Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Огромное спасибо всем, кто помогал мне с зараженным компьютером. Все файлы одного из шифровальщиков успешно расшифрованы!!

Помогли с расшифровкой файлов типа email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-123.reg.doubleoffset

По другому шифровальщику написал в ЛК по вашей инструкции.

 

Приветствую,

Столкнулись с тем же fname doubleoffset и версией 1.5.1.0

Пример имени файла : email-tapok@tuta.io.ver-CL 1.5.1.0.id-611326627-376135554388954347027537.fname-VisaScanningApplication.exe.doubleoffset

Есть варианты не заражённых файлов и их заражённых версий, можно ли брутфорсом найти ключ и есть ил утилита дешифровки?

Как восстанавливали?

Опубликовано (изменено)

Приветствую,

Сегодня ночью были атакованы несколько серверов вин через дырку в RDP и создание левых локал учёток.

Троян положен был в папку созданного пользователя AppData-Local-Temp, кое где этот exe файл сохранён для разбирательства, имя у него рандомное.

Атака в 3:33 к 4:16 или 4:30 уже был сформирован файл с id сервера для злоумышленника. 

Прилагаю автолог, а так же архив с шифрованым файлом и его оригинальной копией, возможно если алгоритм не сильный поможет брутфорс?

На этом же форуме встречал успешное решение проблемы например тут: https://forum.kasperskyclub.ru/index.php?showtopic=60750

На момент шифрования был на сервере рабочий Kaspersky Endpoint Security для бизнеса – Расширенный Russian Edition kbwtypbz 50-99.

 

P.S. Злоумышленник просит 2т$. Платить нет желания.

 

Сообщение от модератора thyrex
Темы объединены

CollectionLog-2019.01.25-12.24.zip

files_for_brutforce.7z

Изменено пользователем thyrex
Опубликовано

@Neo0, Порядок оформления запроса о помощи
Особенно внимательно пункт №3 прочитайте.

А насчёт рассшифровки ари наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
 

Опубликовано

У вас там похоже ещё майнер. Эти файлы вам знакомы?

C:\Program Files\MinerGate\minergate.exe
C:\Program Files\HP\NCU\cpqteam.exe

"Пофиксите" в HijackThis:

O4 - HKU\S-1-5-21-4244453346-3868090124-2167917787-4957\..\Policies\Explorer\Run: [1] = c:\windows\scripts\desktop1.js  (file missing) (User 'megatecb')
O4 - HKU\S-1-5-21-4244453346-3868090124-2167917787-5010\..\Policies\Explorer\Run: [1] = c:\windows\scripts\desktop1.js  (file missing) (User 'magtravel')

 

соберите свежие логи.

 

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
 

Опубликовано

@Neo0, Порядок оформления запроса о помощи

Особенно внимательно пункт №3 прочитайте.

А насчёт рассшифровки ари наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

 

Сделал по форме в новой теме форума https://forum.kasperskyclub.ru/index.php?showtopic=61738, на сайте суппорта в companyaccount.kaspersky.com заявку тоже создал

Опубликовано

У вас там похоже ещё майнер. Эти файлы вам знакомы?

C:\Program Files\MinerGate\minergate.exe
C:\Program Files\HP\NCU\cpqteam.exe

"Пофиксите" в HijackThis:

O4 - HKU\S-1-5-21-4244453346-3868090124-2167917787-4957\..\Policies\Explorer\Run: [1] = c:\windows\scripts\desktop1.js  (file missing) (User 'megatecb')
O4 - HKU\S-1-5-21-4244453346-3868090124-2167917787-5010\..\Policies\Explorer\Run: [1] = c:\windows\scripts\desktop1.js  (file missing) (User 'magtravel')

соберите свежие логи.

 

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

Да, эти майнеры наши, отношения они к проблеме не имеют. Записи в реестре с указанием учёток megatecb и magtravel точно нужно? Потому что троян работал от имени другой учётки, а эти я знаю и они рабочие, как и js скрипты.

Опубликовано

 

 


а эти я знаю и они рабочие, как и js скрипты.
раз скрипты знакомы, то не нужно фиксить.

Но всё-таки проверьте, скрипта по этому пути похоже уже нет, так что будет пытаться открыть то чего нет.

Опубликовано

 

а эти я знаю и они рабочие, как и js скрипты.

раз скрипты знакомы, то не нужно фиксить.

Но всё-таки проверьте, скрипта по этому пути похоже уже нет, так что будет пытаться открыть то чего нет.

 

Хорошо. Есть ли какие то утилиты куда можно подставить оригинал файла и его зашифрованную версию и попробовать подбирать ключи?

Опубликовано

 

 


создайте запрос на расшифровку.
и там спрашивайте. Если что узнаете поделитесь с нами :).
Опубликовано (изменено)

Ну итог как обычно, ничего нового:
 
"Анализ показал. что присланные файлы были зашифрованы троянской программой Trojan-Ransom.Win32.Cryakl. Я сожалею, но на данный момент у нас нет ключа для расшифровки данного типа файлов. Мы продолжаем исследование алгоритмов шифрования и есть вероятность, что будущем сможем предоставить Вам утилиту для дешифровки файлов. "
 
Короче восстановил всё из бэкапов

Изменено пользователем regist

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Вован Свидерский
      Автор Вован Свидерский
      Вирус зашифровал фотографии и они теперь стали называться email-gerkaman@aol.com.ver-CL 1.0.0.0.id-IJJKLLMNOPPPQRSTTTUVWXYYYZABBCCDEFFG-08.09.2015 10@50@484955357.randomname-KKLMNOOPQRSSTTUVWXXXYZABBBCDEF.GGH
       из-за чего произошло, незнаю. 
    • Alex8866
      Автор Alex8866
      Помогите, пожалуйста, расшифровать файлы. зашифрованы многие файлы ворда, экселя, картинки и фото.
      В названии файлов вначале - email-moshiax@aol.com.ver-CL 1.0.0.0.id
      Расширение у них .cbf
      CollectionLog-2015.10.13-18.24.zip
    • rubin51
      Автор rubin51
      Здравствуйте! Зашифровались файлы. После открытия письма зашифровались файлы на компьютере.
      Теперь невозможно открыть файлы.
      Все зашифрованные файлы теперь называются email-moshiax@aol.com.ver-CL 1.0.0.0.id-JMPSWYCEHKNQTWZCFILNRTWZCFILNRTWACFI-08.10.2015 8@57@528941935.randomname-RXCGKMPTVYBEHLNQUWZCFHLNQTWZCF.IMP.cbf
      Просим помощи в расшифровании наших файлов.
    • Galaa
      Автор Galaa
      Добрый день, сегодня по эл.почте отделом закупок было получено письмо с вложением договор.rar.
      Пользователь распаковал архив, попытался открыть файл... В результате все файлы на ПК зашифрованы
      (имеют вид: email-Igor_svetlov2@ com.ver-CL1.0.0.0id................ .cbf).
      Следуя инструкции, размещенной на форуме, выкладываю логи, полученные на данном ПК.
      Компьютер был на момент проверки отключен от сети и интернет...
       
      CollectionLog-2015.10.09-11.22.zip
    • Riv
      Автор Riv
      Здравствуйте.
      Коллега открыла письмо,которое пришло на почту.
       
      Сейчас на весь экран надпись :
      "твои файлы зашифрованы,если хочешь все вернуть отправь 1 зашифрованный файл на эту почту :Seven_Legion2@aol.com
       Внимание!!! у вас есть 1 неделя что-бы написать на почту по происшествии этого срока расшифровка станет не возможна!!! "
       
      Зашифровалось все вчера утром расширением .CBF
       
      Просканировали все Dr.Web Curelt  - нашел один троян "Trojan.Packed.24524" Удалили его.
       
      Прикрепили файл протоколов.
       
      Помогите пожалуйста.
      CollectionLog-2015.10.09-09.11.zip
×
×
  • Создать...