Перейти к содержанию

Прошу помощи с дешифровкой_[johnhelper777@gmx.de].decrypt


Рекомендуемые сообщения

Прошу помощи с дешифровкой. Ситуация следующая: по RDP на сервере в ручном режиме запустили Fast.exe, который все имеющиеся файлы зашифровал как у себя, так и по всей подключенной сети (на других серверах и на других пользовательских ПК). Есть часть данных, которые очень хотелось бы вернуть. 

Адрес злоумышленника известен: johnhelper777@dmx.de. Телеграмм: @restoredata77. Ему написали, но пока без ответа. Просят деньги в биткоинах. 

Во вложении - архив с несколькими шифрованными файлами. Можете подсказать по ситуации как действовать?

 

Test.zip

Ссылка на комментарий
Поделиться на другие сайты

Вымогатель скорее всего по окончании своей работы был удалён.

Чтобы это проверить, выполните остальные пункты Порядка оформления запроса о помощи

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Нет, вымогатель себя не удалил. Fast.exe на одном ПК оставил в случае необходимости. 

Прикрепляю соответствующие логи согласно требованиям. FRST.txtAddition.txt

Ссылка на комментарий
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    2022-09-14 09:49 - 2022-09-14 09:49 - 000005681 _____ C:\Users\CMK\Desktop\info.hta
    2022-09-14 09:49 - 2022-09-14 09:49 - 000000401 _____ C:\Users\CMK\Desktop\info.txt
    2022-09-13 01:22 - 2022-09-13 01:22 - 000005681 _____ C:\Users\Public\Desktop\info.hta
    2022-09-13 01:22 - 2022-09-13 01:22 - 000005681 _____ C:\info.hta
    2022-09-13 01:22 - 2022-09-13 01:22 - 000000401 _____ C:\Users\Public\Desktop\info.txt
    2022-09-13 01:22 - 2022-09-13 01:22 - 000000401 _____ C:\info.txt
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
    WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
    WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
    AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [227]
    FirewallRules: [{F43A0A28-DA8E-4091-84F1-16E47F34FE65}] => (Allow) LPort=54925
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

45 минут назад, Neo_spb сказал:

Fast.exe на одном ПК

В этих логах такого файла не видно.

Ссылка на комментарий
Поделиться на другие сайты

Кстати, прошу обратить внимание авторам других тем, которые тоже столкнулись с Phobos и не могут найти дешифровщика. 

В личку приходят от пользователя/лей форума рекомендации обратиться к нескольким людям/компаниям за помощь. Среди таких вариантов находится человек, который в итоге присылает успешно дешифрованный файл с видео-демонстрацией процесса. 

Просит вознаграждение и дает 100% результат. 

Какие-то более менее стоящие контакты и данные свои естественно не предоставляет. Не связывайтесь даже и будьте внимательны. 

 

 

Ссылка на комментарий
Поделиться на другие сайты

14.09.2022 в 12:31, Sandor сказал:

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению

 

И ещё

36 минут назад, Neo_spb сказал:

В личку приходят от пользователя/лей форума рекомендации

Жалуйтесь на такие сообщения.

В правом верхнем углу каждого сообщения есть кнопка с тремя кнопками, нажмите её

image.png.94ecf2bab5d097197307358ffb15e173.png

 

И к ним будут применены соотв. санкции.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Alexey82
      Автор Alexey82
      Добрый день.
      Прошу помощи в удалении Trojan:Win32/Kepavll!rfn.
       
      Сработал стандартный Защитник Windows (Windows 10) Microsoft Defender.
      В папке ProgramData появилось много папок с названиями всех известных антивирусов, при попытке открыть страницы в браузере с упоминанием о удалении троянов - браузер закрывается.
      Прогнал CureIt, нашел угрозы, удалил не всё, лог приложил.
      Объясню сразу момент - приложение GPP Remote Service установлено мной лично для доступа к домашнему ноуту.
      Собственно все началось после того, как захотел ознакомиться с игрой Wizardum, как ни странно скачивал торрент отсюда (h__s://bуrutgаmе.оrg/41154-wizоrdum.htmI), в момент запуска установщика, на него выругался Microsoft Defender.
       
      Прошу помощи с удалением.
       
      Заранее спасибо откликнувшимся специалистам.
      CollectionLog-2025.06.27-06.20.zip cureit.rar
    • aleksey76
    • Warrr
      Автор Warrr
      Прошу помощи с расшифровкой вируса Mimic. В поддержку уже обращался, сказали, не помогут. Есть много пар зашифрованных/оригинальных файлов. Может можно что-то придумать…
       
      спасибо 
    • vasili_rb
      Автор vasili_rb
      Добрый день.
      Очень нужна помощь. Хватанул какого то трояна скорее всего.
      Не запускаются виртуальные машины в Hyper-V, перестали работать обновления 
      SRVMAIN_2025-02-12_11-59-20_v4.99.8v x64.7z
       
      HyperV восcтановил путем удаления роли и установкой по новому.
    • Вадим_АнтиВирус
      Автор Вадим_АнтиВирус
      Здравствуйте.
      Вчера я скачал программу, под названием FataHook.exe
      Я ее запустил, вроде все замечательно работало. Потом в неожиданный момент пишу в браузере Microsoft Edge: Что делать, если вирус на компьютере?
      Проходит секунд 5-6 и вирус сразу закрывает браузер.
      Папка hosts отсутствует из за ее блокировки вирусом.
      Не могу запустить ни один антивирус под любым названием (даже с измененным).
      Если перейду в параметры, то там вообще отсутствует кнопка безопасности Windows.
      Если в поиске написать: Защита от вирусов и угроз, то выдает ошибку: Вам понадобится новое приложение, чтобы открыть эту ссылку windowsdefender.
       
      Помогите пожалуйста удалить данный вирус!!!
×
×
  • Создать...