Перейти к содержанию

Прошу помощи с дешифровкой_[johnhelper777@gmx.de].decrypt


Рекомендуемые сообщения

Прошу помощи с дешифровкой. Ситуация следующая: по RDP на сервере в ручном режиме запустили Fast.exe, который все имеющиеся файлы зашифровал как у себя, так и по всей подключенной сети (на других серверах и на других пользовательских ПК). Есть часть данных, которые очень хотелось бы вернуть. 

Адрес злоумышленника известен: johnhelper777@dmx.de. Телеграмм: @restoredata77. Ему написали, но пока без ответа. Просят деньги в биткоинах. 

Во вложении - архив с несколькими шифрованными файлами. Можете подсказать по ситуации как действовать?

 

Test.zip

Ссылка на сообщение
Поделиться на другие сайты

Вымогатель скорее всего по окончании своей работы был удалён.

Чтобы это проверить, выполните остальные пункты Порядка оформления запроса о помощи

Ссылка на сообщение
Поделиться на другие сайты

Нет, вымогатель себя не удалил. Fast.exe на одном ПК оставил в случае необходимости. 

Прикрепляю соответствующие логи согласно требованиям. FRST.txtAddition.txt

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    2022-09-14 09:49 - 2022-09-14 09:49 - 000005681 _____ C:\Users\CMK\Desktop\info.hta
    2022-09-14 09:49 - 2022-09-14 09:49 - 000000401 _____ C:\Users\CMK\Desktop\info.txt
    2022-09-13 01:22 - 2022-09-13 01:22 - 000005681 _____ C:\Users\Public\Desktop\info.hta
    2022-09-13 01:22 - 2022-09-13 01:22 - 000005681 _____ C:\info.hta
    2022-09-13 01:22 - 2022-09-13 01:22 - 000000401 _____ C:\Users\Public\Desktop\info.txt
    2022-09-13 01:22 - 2022-09-13 01:22 - 000000401 _____ C:\info.txt
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
    WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
    WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
    AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [227]
    FirewallRules: [{F43A0A28-DA8E-4091-84F1-16E47F34FE65}] => (Allow) LPort=54925
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

45 минут назад, Neo_spb сказал:

Fast.exe на одном ПК

В этих логах такого файла не видно.

Ссылка на сообщение
Поделиться на другие сайты

Кстати, прошу обратить внимание авторам других тем, которые тоже столкнулись с Phobos и не могут найти дешифровщика. 

В личку приходят от пользователя/лей форума рекомендации обратиться к нескольким людям/компаниям за помощь. Среди таких вариантов находится человек, который в итоге присылает успешно дешифрованный файл с видео-демонстрацией процесса. 

Просит вознаграждение и дает 100% результат. 

Какие-то более менее стоящие контакты и данные свои естественно не предоставляет. Не связывайтесь даже и будьте внимательны. 

 

 

Ссылка на сообщение
Поделиться на другие сайты
14.09.2022 в 12:31, Sandor сказал:

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению

 

И ещё

36 минут назад, Neo_spb сказал:

В личку приходят от пользователя/лей форума рекомендации

Жалуйтесь на такие сообщения.

В правом верхнем углу каждого сообщения есть кнопка с тремя кнопками, нажмите её

image.png.94ecf2bab5d097197307358ffb15e173.png

 

И к ним будут применены соотв. санкции.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • alexanderppp
      От alexanderppp
      Добрый день! 
      У друга на ПК зашифровались все файлы, шифровальщик blackbit. 
      Дают ему около 10 дней на оплату, после чего якобы все данные будут удалены. 
      Есть шанс удалить вирус, остановить обратный отсчет и в будущем расшифровать файлы? 
      Спасибо.
      01.rar
    • Дмитрий87
      От Дмитрий87
      Ориентировочно 8072022 была заражена вся сетка и файлы текстовые, а так же файлы баз данных ПО изменили свой формат на Ruben. Логи  с одного из зараженных компьютеров и образцы зараженных файлов прилагаю. Так же на сервере сети был файл cryptor.exe (может ли это быть вирусом-шифровальщиком?)
      логи.txt файлыl.rar
    • gongarn
      От gongarn
      Дело в том что я недавно подцепил вирус taskhostw относительно легкий вирус. Удалил его и тут началось. Заметил что компьютер, стал дольше грузится да и компьютер немного зависал. Думал это из-за того что давно не переустанавливал ОС. Но затем заметил что я не могу зайти на этот сайт и на сайт доктор веб курейт (и на многие другие). Опять считал это проблемой не связанной с вирусами так как использовал много антивирусов, все говорили чисто. Так вот, решил я зайти на этот сайт с помощью впна, и набрел на программу  AVbr. Проверился и при каждом сканировании начало высвечиваться "майнер блокирует доступ к файлу hosts" или что-то подобное. Сканировал я несколько раз с перезагрузкой, но все также (даже в безопасном режиме). Но эта программа дала мне доступ к этому сайту (без впна). Так вот что я могу сделать чтобы программа не жаловалась и могу ли узнать есть ли на моем пк майнер? 
      P.S прикрепляю отчет программыAV_block_remove_2023.03.27-22.35.log. Заранее очень сильно благодарен.
    • javiso
      От javiso
      При серфинге скачался какой-то архив, что-то похожее на расширение для хрома. Защитник Windows сообщил об этом вирусе. Все проверилось, а в истории он остался отмечен как неудаленный без возможности удалить. Установленный Касперский вирус не нашел. 
      Подскажите, как точно от него избавиться и все проверить?
      Вроде он, непонятно было получилось ли "вовремя" отменить загрузку, но антивирус Windows успел заметить этот файл.

    • Дмитрий Пискарев
      От Дмитрий Пискарев
      Добрый день.
      Шифровальщик поразил файлы на сервере. Работал ночью
      FRST.txt info.txt virus.7z Addition.txt
×
×
  • Создать...