Перейти к содержанию

Прошу помощи с дешифровкой. help@inboxhub.net support007@mailfence.com

hunnyr
 Поделиться

Рекомендуемые сообщения

hunnyr

hunnyr

Опубликовано
Опубликовано

Здравствуйте

Заразили сетевую машину, в пятницу, заметили во вторник. 

Зашифровали 1.1m файлов

Из наблюдений, машина жёстко висела и еле откликалась. Диспетчер задач был заблокирован, режим управления питанием тоже.

Из найденных файлов смог найти только список обработанных файлов

hashlist.txt

В виду безысходности остановки сего беспредела, в экстренном порядке откатил систему на неделю назад

Проверка авирой, малваребайтом никаких результатов не дали. Остальные машины в локальной сети не взяли, лишь перешли на открытый сетевой диск и начали шифровать там..

 

 

Логи и кусочек hashlist.txt прилагаю. 

Прошу отклинкуться и помочь при возможности.

Спасибо

 

 

Logs.zip Desktop.zip Записка.txt

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, расшифровки этого типа вымогателя нет.

 

Деинсталлируйте нежелательное ПО - Bonjour

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction <==== ATTENTION
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
S3 TermService; C:\Program Files\RDP Wrapper\rdpwrap.dll [116736 2021-07-12] (Stas'M Corp.) [File not signed] <==== ATTENTION (no ServiceDLL)
2022-09-13 11:04 - 2022-09-13 11:42 - 000001920 _____ C:\Users\hunny\AppData\Local\How-to-decrypt.txt
2022-09-11 21:09 - 2022-09-11 21:09 - 000001920 _____ C:\Users\TC21\AppData\Local\How-to-decrypt.txt
2022-09-11 21:03 - 2022-09-13 11:36 - 000001920 _____ C:\How-to-decrypt.txt
FirewallRules: [{6E48B2A2-BFC8-495E-A10A-3B642883ECD4}] => (Allow) LPort=23389
FirewallRules: [{B62EB12C-7134-41ED-A3B4-F99822770795}] => (Allow) LPort=1972
FirewallRules: [{06771023-BF4B-447E-B84D-49EE09F99DA0}] => (Allow) LPort=1972
FirewallRules: [{4E3DC208-9C22-4B94-895D-EFC0796136F0}] => (Allow) LPort=3389
FirewallRules: [{96647E32-229B-46A5-BA37-F831B6C82800}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{8A22FD5A-E7DC-4E32-B86B-02D70189E0CE}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{8DDF84A5-C9EE-413B-B9D0-9C90D4A6AA62}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{81A98CC6-6879-4BE3-AF44-E330EA773B91}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Скрипт отработал успешно.

Проверьте уязвимые места и устаревшее критическое ПО:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Sandor

Sandor

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------
User Account Control enabled
The elevation prompt for administrators disabled
^It is recommended to enable (default): Win+R typing UserAccountControlSettings and Enter^
--------------------------- [ OtherUtilities ] ----------------------------
TeamViewer v.15.32.3 Warning! Download Update
LibreOffice 7.1.2.2 v.7.1.2.2 Warning! Download Update
FileZilla Server v.beta 0.9.60 Warning! Download Update
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 Warning! Download Update
Uninstall old version and install new one.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe SVG Viewer 3.0 v. 3.0 Warning! This software is no longer supported. Please uninstall it.
---------------------------- [ UnwantedApps ] -----------------------------
Avira System Speedup v.6.20.0.11426 << Hidden Warning! Suspected demo version of anti-spyware, driver updater or optimizer. If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware. Possible you became a victim of fraud or social engineering. Computer experts no longer recommend this program.
 

 

Обратите внимание на перечисленное и по возможности исправьте.

 

Читайте Рекомендации после удаления вредоносного ПО

hunnyr

hunnyr

Опубликовано
  • Автор
Опубликовано

Большое спасибо за помощь, если будет возможность раскриптовать, дайте знать пожалуйста

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • kov44
      Помощь в дешифровке restore1_helper@gmx.de
      Автор kov44
      Добрый день! Несколько компьютеров в сети подверглись атаке вируса-шифровальщика. Вымогатель предлагает осуществить выкуп за помощь с дешифровкой за биткоины.
      Файлы были переименованы, в конце каждого суффикс "id[e2bdbcde-3259].[restore1_helper@gmx.de].Banta"
      Кто-нибудь сталкивался? Возможно дешифровка данных файлов
      Вот архив, в нем зашифрованные файлы, а также два файла info с требованием о выплате выкупа
      virus.rar
    • Helsing13
      Прошу помощи с расшифровкой Trojan.Encoder.31074
      Автор Helsing13
      Добрый день! В результате атаки была зашифрована система. Все файлы стали с расширением lpdVIpAg7.
      После перезагрузки система работает но не все программы запускаются.
      Во вложении: письмо требование, пример зашифрованных файлов, отчеты о работе FRST, и несколько подозрительных исполняемых файлов.
       
      Пароль на оба архива: 1234
       
      virus.zip lpdVIpAg7.README.txt Addition.txt FRST.txt files.zip
    • Роман Суслов
      Прошу помощи в восстановлении данных после шифровальщика KREMLIN
      Автор Роман Суслов
      Добрый день! В результате RDP атаки была зашифрована система. Все файлы стали с расширением KREMLIN.
      После перезагрузки система мертва, т.к. зашифрованы и системные файлы тоже. 
      Нашел некий cryptor.exe на рабочем столе.
      Во вложении: письмо требование, пример зашифрованного файла и его незашифрованная версия, cryptor.exe в архиве (пароль virus).
       
      Письмо требование:
      ID: 3TpvNLVFm8BEBn58soumz8cf2sz2dzWN 
       Need restore files? Contact us in telegram(desktop.telegram.org) - @KremlinRestore
       
       
      README.txt cryptor.zip зашифрованный файл.zip
      Исходный файл для сравнения, не влез в тему.
      исходник.zip
    • Alexey82
      [РЕШЕНО] Прошу помощи с удалением Trojan:Win32/Kepavll!rfn
      Автор Alexey82
      Добрый день.
      Прошу помощи в удалении Trojan:Win32/Kepavll!rfn.
       
      Сработал стандартный Защитник Windows (Windows 10) Microsoft Defender.
      В папке ProgramData появилось много папок с названиями всех известных антивирусов, при попытке открыть страницы в браузере с упоминанием о удалении троянов - браузер закрывается.
      Прогнал CureIt, нашел угрозы, удалил не всё, лог приложил.
      Объясню сразу момент - приложение GPP Remote Service установлено мной лично для доступа к домашнему ноуту.
      Собственно все началось после того, как захотел ознакомиться с игрой Wizardum, как ни странно скачивал торрент отсюда (h__s://bуrutgаmе.оrg/41154-wizоrdum.htmI), в момент запуска установщика, на него выругался Microsoft Defender.
       
      Прошу помощи с удалением.
       
      Заранее спасибо откликнувшимся специалистам.
      CollectionLog-2025.06.27-06.20.zip cureit.rar
    • PsuchO
      Поймал шифровальщик X77C, лёг весь прод, слёзно прошу помощи
      Автор PsuchO
      Всем привет, намедне поймал шифровальщик X77C, эта скотина успела побить все файлы, до которых дотянулась.
      В итоге у всех файлов изменились имена tb73.8382_front.psd.[ID-BAE12624][recovery-data09@protonmail.com].mz4, а оригинал вот tb73.8382_front.psd
      Плюсом к этому в каждой папке лежал тектовик со следующим описанием
       
      Открыл зашифрованный ps1 скрипт и вот что внутри
       
      Всё это на виртуалках на удалённом хосте, при этом странно, что сам хост не заразили, а вот виртуалки внутри него - заразили, как это вышло и почему, фиг знает.
      Поэтому подрубить проверяльщики через внешние USB и прочее не получится, как я понимаю. Буду рад любым советам и любой помощи.
      Прикладываю зашифрованный файл
      Front.psd.[ID-BAE12624][recovery-data09@protonmail.com].mz4.zip
×
×
  • Создать...