Перейти к содержанию

Шифровальщик [luisgreen@onionmail.org].[700D5646-0B4F9EA0] и [F304CEB2-FF3F0B5A]

DanStriker
 Share

Рекомендуемые сообщения

DanStriker Новичок

DanStriker

Опубликовано
Опубликовано

Система была переустановлена. На тот момент не было действующей антивирусной программы. Файл с требованиями тоже зашифрован, другого нет. Есть ещё файлы с расширением [F304CEB2-FF3F0B5A] от того же шифровальщика, также приложил в архиве.

FRST.txt Addition.txt Files.rar

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Каким образом с разницей почти в год Вы умудрились попасть на один и тот же шифровальщик?

 

А еще чудесным образом 2 августа попали и на шифровальщик Loki.


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
File: C:\Users\Buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe
File: C:\Users\Buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat
File: C:\ProgramData\winlogon.exe
File: C:\Users\Buh\Desktop\._cache_AccountRestore.exe
Startup: C:\Users\Buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2022-07-31] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\Buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2022-08-02] () [Файл не подписан]
2022-08-02 00:45 - 2022-08-02 00:45 - 000029184 ___SH C:\ProgramData\rjfrkkzf.exe
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\Users\Public\Restore-My-Files.txt
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\Users\Public\Downloads\Restore-My-Files.txt
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\Users\Public\Documents\Restore-My-Files.txt
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\Users\Buh\Restore-My-Files.txt
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\Users\Buh\Downloads\Restore-My-Files.txt
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\Users\Buh\Documents\Restore-My-Files.txt
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\ProgramData\Restore-My-Files.txt
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\ProgramData\Documents\Restore-My-Files.txt
2022-08-02 00:45 - 2022-07-31 14:32 - 000533504 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2022-08-02 00:44 - 2022-07-31 14:32 - 000533504 ___SH (Microsoft) C:\Users\Buh\AppData\Roaming\winlogon.exe
End::


2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
 

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.

 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

C:\Users\Buh\Desktop\._cache_AccountRestore.exe удалите вручную.

 

28 минут назад, DanStriker сказал:

Никто не занимался безопасностью. Они всё до последнего ждали

Это не тот ответ, которого я ждал. Скажите, с кем выходил на связь распространитель шифровальщика CryLock как год назад, так и в конце июля - начале августа этого года?

Ссылка на комментарий
Поделиться на другие сайты
DanStriker Новичок

DanStriker

Опубликовано
  • Автор
Опубликовано
22 часа назад, thyrex сказал:

C:\Users\Buh\Desktop\._cache_AccountRestore.exe удалите вручную.

 

Это не тот ответ, которого я ждал. Скажите, с кем выходил на связь распространитель шифровальщика CryLock как год назад, так и в конце июля - начале августа этого года?

Есть возможность расшифровать данные?

Ссылка на комментарий
Поделиться на другие сайты
DanStriker Новичок

DanStriker

Опубликовано
  • Автор
Опубликовано
1 час назад, thyrex сказал:

Конечно. А можно узнать, какую сумму запросил распространитель в этот раз?

Год назад просил сначала 500$ после того как перевели ему эту сумму попросил ещё 350$ и потом пропал. В в этот раз, почти сразу после зашифровки данных, с нами связался парень, который предлагал услуги расшифровки и просил по 3000 руб. за каждое действие, у него получилось расшифровать несколько файлов, но в итоге скинул дешифратор который не подошел и мы перестали с ним общаться

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Это был тот же самый распространитель. Он дважды пытался выдать Ваши файлы за свои :) Но получал только скрины содержимого, которые наверняка Вам и демонстрировал.

 

Проверьте ЛС.

Ссылка на комментарий
Поделиться на другие сайты
DanStriker Новичок

DanStriker

Опубликовано
  • Автор
Опубликовано
33 минуты назад, thyrex сказал:

Это был тот же самый распространитель. Он дважды пытался выдать Ваши файлы за свои :) Но получал только скрины содержимого, которые наверняка Вам и демонстрировал.

 

Проверьте ЛС.

Попробовал сделать расшифровку файлов с разными расширениями и ни один не расшифровался, на loki пишет not encrypted а на [700D5646-0B4F9EA0] и [F304CEB2-FF3F0B5A] not valid password

Ссылка на комментарий
Поделиться на другие сайты
DanStriker Новичок

DanStriker

Опубликовано
  • Автор
Опубликовано
17 часов назад, thyrex сказал:

Расшифровки Loki нет.

 

Повторно отправил ключи.

Спасибо всё расшифровывает, но только почему-то на диске C. На других дисках не расшифровывает до тех пор пока не переместишь их на C

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • organism
      шифратор jinxishere@onionmail.org
      От organism
      в выходные зашифровались все файлы, включая 1с
      установленный касперский больше не работает
      прилагаю образцы файлов и  сообщение от вируса
      пароль архива 32768
      эквилибриум.zip
    • Александр94
      Шифровальщик
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • FineGad
      Шифровальщик WantToCry
      От FineGad
      26.12.24 На файловом сервере (комп с Debian) в расшареных каталогах заметил текстовый файл !want_to_cry.txt 
      Просканировал все каталоги доступные по сети (SMB) зашифрованные файлы с расширением .want_to_cry по времени создания файлов видно что шифровальщик проработал примерно с 24.12.24 20:05  по 25.12.24 03:05 после чего сервер "завис". Сейчас шифровщик не активен (новые шифрованные файлы не появляются). Доступа к сети извне нет, кроме SSH с ключом шифрования. В сети кроме моего во время активности были еще 2 компьютера под управление Windows.
       
      !want_to_cry.txt
    • IrinaC
      Поймали шифровальщика
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • ad_art
      Шифровальщик BlackBit
      От ad_art
      Здравствуйте, требуется помощь в расшифровке файлов.
      Прилагаю образец вируса в запароленном архиве, ключи реестра содержащие данные для шифрации.
      First.txt Addition.txt Зашифрованные файлы.7z Оригинальные файлы.7z virus_sample.7z Требования вируса.7z reg_keys.7z
×
×
  • Создать...