Перейти к содержимому


Фотография
- - - - -

[РЕШЕНО] Файлы зашифрованы неизвестным шифровальщиком

Шифровальщик

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Закрытая тема Тема закрыта
Сообщений в теме: 12

#1 OFF   TanetchkaV

TanetchkaV

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 15 Июнь 2019 - 12:07

Добрый день!

Прошу Вашей помощи.

Файлы были зашифрованы неизвестным шифровальщиком, расширение .crypted. Инструмент RakhniDecryptor.exe найденный на ransome сказал неподдерживаймый тип зашифрованного файла.

Мошенники запросили сумму около тысячи рублей в криптовалюте dash. Файл с текстом вымогателей прилагаю. Также прилагаю пример зашифрованного файла в архиве пример.zip и лог согласно правилам форума.

Надеюсь на Вашу помощь, спасибо!

Прикрепленные файлы


  • 0

#2 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 666

Награды

           

Отправлено 15 Июнь 2019 - 12:29

Попробуйте поискать пару шифрованный-нешифрованный одного и того же файла и прикрепите в архиве к следующему сообщению.
  • 1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#3 OFF   TanetchkaV

TanetchkaV

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 15 Июнь 2019 - 13:01

Вроде вот пара. Оригинал из отправленных в почте, а зашифрованный откуда был отправлен.

И еще пара, ориг сейчас загружен из входящих, а зашифрованный загружен до шифровки.


Вот ещё стопроцентная пара экселевских файлов.

Прикрепленные файлы


  • 0

#4 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 666

Награды

           

Отправлено 15 Июнь 2019 - 13:27

Пока неясно, что это. Предположение про Nemucod не подтвердится скорее всего.

Сами что-то запустили перед шифрованием или к Вам зашли удаленно по RDP?
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#5 OFF   TanetchkaV

TanetchkaV

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 15 Июнь 2019 - 13:40

Дети что-то запустили


  • 0

#6 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 666

Награды

           

Отправлено 15 Июнь 2019 - 13:47

Ну тогда уточняйте, что именно. И если сохранился вредоносный файл, присылайте в архиве с паролем virus.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#7 OFF   TanetchkaV

TanetchkaV

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 15 Июнь 2019 - 17:06

Ничего не знают, ничего не запускали.

Перелопатил историю до 28 мая. Ничего особенного, ютуб, поиск рефератов, мтс коннект. По подозрительным ссылкам прошел, всё прогрузил. Ничего.

Всё что есть на компе вы видели в логах. Из подозрительно некий Win Tonic есть в приложениях, но походу дохлый. В Program Files живет какая то папка windows nt, в ней почти ничего нет, и wordpad зачем то. На компе в тот момент жили avast и avg. 


в папке Roaming нашел файл созданный примерно во время заражения 13.06.2019 в обед, дата изменения 5 июня. 

win tonic это из состава pc tonic от от дядюшки Nortona

Прикрепленные файлы


  • 0

#8 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 666

Награды

           

Отправлено 16 Июнь 2019 - 12:48

В общем поймали https://id-ransomwar...ransomware.html

 

Как пишут зарубежные коллеги, он перезаписывает файлы (как минимум часть, причем большую) мусором и сохраняет их с новым расширением


  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#9 OFF   TanetchkaV

TanetchkaV

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 16 Июнь 2019 - 14:38

Спасибо!

Значит деньги отправлять туда не стоит.


  • 0

#10 OFF   TanetchkaV

TanetchkaV

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 16 Июнь 2019 - 18:25

Думал, стоит тут об этом писать или нет, с точки зрения поощрения мошеннических действий конечно не не стоит, но когда вопрос стоит о сохранении материалов накопленных на ноуте за несколько лет, то конечно лучше другим пользователям, попавшим в такое положение, знать об этом.

Деньги небольшие и от безнадёги были отправлены вымогателю. И как бы это смешно не звучало, но мошенник оказался честный :) Прислал дешифратор. Никакого мусора как писалось выше в файлах нет, всё расшифровалось.  :cool2: Вот воистину, хочешь сделать человеку хорошо - сделай сначала плохо, а потом верни как было  :)

Ответ пришел отсюда: Cryptor t310ea89b4347@protonmail.com с таким текстом:

Скачайте дешифратор отсюда: https://dropmefiles.com/JJvFm(его нельзя прикрепить к сообщению, поскольку там exe файл), распакуйте все файлы из архива в одну папку, после чего запустите дешифратор

 

 

Скаченный архив прилагаю. Прошу Вас проверить не оставляет ли он после расшифровки каких нибудь подводных камней. Спасибо!

Сегодня же установлю себе антивирус Касперского, до шифровки стояли и AVG и Avast, оба прохлопали ушами этого шифровальщика.

Прикрепленные файлы


Сообщение отредактировал TanetchkaV: 16 Июнь 2019 - 18:36

  • 0

#11 OFF   Игорь Малыхин

Игорь Малыхин

    Новичок

  • Новички
  • Cообщений: 1

Отправлено 16 Июнь 2019 - 18:45

у меня таже проблема как мне воспользоваться дешифратором


  • 0

#12 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 666

Награды

           

Отправлено 16 Июнь 2019 - 19:04

Игорь Малыхин,

1. Не стоит вторгаться в чужую тему. Создавайте свою и выполняйте правила раздела.

2. Ключ уникальный для каждого пострадавшего.


  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#13 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 666

Награды

           

Отправлено 19 Июнь 2019 - 20:25

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".


  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif





Темы с аналогичными тегами: Шифровальщик

Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных