Перейти к содержанию

Шифровальщик Ransom.Phobos + neshta.a Все файлы с расширением LIZARD

breeze27rus
 Поделиться

Рекомендуемые сообщения

breeze27rus

breeze27rus

Опубликовано
Опубликовано

Прошу помощи в расшифровке файлов (базы 1с и прочие служебные).

 

Шифровальщик (как назвал его MalwareBytes) Ransom.Phobos, те которые не зашифрованы,  заражены вирусом neshta.a.

 

Все файлы имеют расширение "LIZARD"

 

Например

Файл.txt.id[C80B0F90-3351].[r3wuq@tuta.io].LIZARD

 

В вложении логи анализа системы Farbar Recovery Scan Tool и файлы с предложением выкупа и пара зашифрованных

files.rar logs.rar

breeze27rus

breeze27rus

Опубликовано
  • Автор
Опубликовано

Просят 0.65 BTC уступают максимум до 0.5 BTC.

Другие люди (а может те же самые) предлагают за декриптор 600 долл за 1 сервер.

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Расшифровки вымогателя Phobos нет, к сожалению. Помочь с этим не сможем.

Neshta - сопутствующее файловое заражение. Лечить следует загрузившись с внешнего носителя. Например, с помощью KRD.

По поводу связи с вымогателями - на ваш страх и риск. Известны случаи, когда после оплаты пострадавшим они пропадали.

breeze27rus

breeze27rus

Опубликовано
  • Автор
Опубликовано
17 часов назад, Sandor сказал:

Здравствуйте!

 

Расшифровки вымогателя Phobos нет, к сожалению. Помочь с этим не сможем.

Neshta - сопутствующее файловое заражение. Лечить следует загрузившись с внешнего носителя. Например, с помощью KRD.

По поводу связи с вымогателями - на ваш страх и риск. Известны случаи, когда после оплаты пострадавшим они пропадали.

я могу ошибаться на счёт шифровальщика, но если вы мне подскажете по каким критериям его определить, то буду признателен.

Sandor

Sandor

Опубликовано
Опубликовано

Вам уже не нужны никакие критерии. Тип вымогателя определён, это Phobos. Также произошло сопутствующее ему файловое заражение вирусом Neshta. Как лечить это файловое заражение - я привёл ссылку на Kaspersky Rescue Disk в предыдущем сообщении. Вы прошли по ней, читали инструкцию?

breeze27rus

breeze27rus

Опубликовано
  • Автор
Опубликовано
3 часа назад, Sandor сказал:

Вам уже не нужны никакие критерии. Тип вымогателя определён, это Phobos. Также произошло сопутствующее ему файловое заражение вирусом Neshta. Как лечить это файловое заражение - я привёл ссылку на Kaspersky Rescue Disk в предыдущем сообщении. Вы прошли по ней, читали инструкцию?

Ну вдруг Каспер бы иначе определил, и разновидности разные бывают, поэтому решил у профи уточнить. КРД не пользуюсь, у меня немного другие инструменты, но Вам лично большое спасибо за реакцию и советы.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • SirAlex
      Шифровальщик *.acton
      Автор SirAlex
      Добрый день.
      Нужна помощь в дешифровке компьютерных файлов после действия вируса-шифровальщика. 
      Явного источника шифрования не обнаружено. Предшествовала установка  специфических плагинов для интернет клиент банка с правами администратора. Перед установкой файлы проверялись антивирусом Avast и на VirusTotal.com. Под этим администратором не исполнялось ничего вредоносного. Сам пользователь утверждает , что больше ничего не открывал и подозрительной почты не принимал.
      Стационарная антивирусная система Avast была обнаружена отключенной. После запуска экранов и проверки системы обнаружила и уничтожила 2 подозрительных процесса. Дальше была произведена полная проверка системы утилитой DrWeb CureIt. Сам вирус исполнялся процессом ph_exec.exe и разместил несколько копий себя в разных пользовательских каталогах системы. Данный файл сохранён в карантине.
      Зашифрованы пользовательские файлы на доменном ПК и на всех доступных данному ограниченному (не администратору) пользователю для изменения сетевых ресурсах, для каждого из которых зловред создал отдельный сетевой диск.
      Некоторых файлов сохранились резервные копии на сторонних ресурсах.
    • toks
      Шифровальщик .acton
      Автор toks
      Здравствуйте! Кто-нибудь сталкивался с таким? 
      "ФОРМА 2-ТП(воздух).xls.id[46B13D45-1065].[inness.mcbride@aol.com].Acton"
       
      Не могу понять тип шифровальщика.
      ФОРМА 2-ТП(воздух).xls.id46B13D45-1065.inness.mcbride@aol.com.rar
    • Takaheshi
      Шифровальщик .id[A46092D4-1096].[lockhelp@qq.com].acute
      Автор Takaheshi
      Добрый день.
      Имеется Windows Server 2003 с давно отключенным автообновлением. Видимо взломали RDP и закинули шифровальщика.
      Провёл лечение KVRT. 
      Файл автологера прилагаю.
      CollectionLog-2019.07.10-12.46.zip
    • demstk
      Поймали шифровальщик phoenix/phobos
      Автор demstk
      Добрый день. Подскажите, возможна ли расшифровка файлов?
       
      все файлы имеют вид  -
       
      xxx.yyy.id[много цифр].[batecaddric@aol.com].phoenix
       
       
      !!! All of your files are encrypted !!!
      To decrypt them send e-mail to this address: batecaddric@aol.com.
      If we don't answer in 24h., send e-mail to this address: uttensherman@aol.com
      If there is no response from our mail, you can install the Jabber client and write to us in support of phobos_helper@xmpp.jp
    • bLiZZarDik
      [Расшифровано]Все файлы из папки зашифровали
      Автор bLiZZarDik
      Добрый день. Что-то  напало на наш комп и заблокировало все что там было. Можете помочь с определением вируса. Подвесил зараженный тхт, но больше всего нужен файл *.FDB Firebird
       
      Cпасибо
       

      Сообщение от модератора kmscom сообщение перенесено из темы Все файлы из папки зашифровали virus.rar
×
×
  • Создать...