Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Шифровальщик captain-america@tuta.io].deep

ches66
 Поделиться

Рекомендуемые сообщения

ches66 Новичок

ches66

Опубликовано
Опубликовано

Добрый день!

Найден шифровальщик 

зашифровал файлы под именем .id[D80C2187-3352].[captain-america@tuta.io].deep

Определить Шифровальщик не получается, в связи с чем невозможно определить существует ли дешифровщик к нему.

Нужна помощь! 

Доступ АТС.txt.id[D80C2187-3352].[captain-america@tuta.io].zipПолучение информации...

FRST.zipПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Шифровальщик активен.

 

Файлы с сообщениями от вымогателей

  Цитата

C:\info.hta
C:\info.txt

Показать  

прикрепите в архиве к следующему сообщению.


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [svchost] => C:\Users\Ivan.Gridasov.Adm\AppData\Local\svchost.exe [57344 2023-08-22] () [Файл не подписан] <==== ВНИМАНИЕ
File: C:\Users\Ivan.Gridasov.Adm\AppData\Local\svchost.exe
File: D:\сертификат\svchost.exe
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-954303354-74777796-1033967165-1000\...\Run: [CCleaner Monitoring] => "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR (Нет файла)
HKU\S-1-5-21-954303354-74777796-1033967165-1009\...\Run: [svchost] => C:\Users\Ivan.Gridasov.Adm\AppData\Local\svchost.exe [57344 2023-08-22] () [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe [2023-08-22] () [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\Ivan.Gridasov.Adm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe [2023-08-22] () [Файл не подписан] <==== ВНИМАНИЕ
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на комментарий
Поделиться на другие сайты
ches66 Новичок

ches66

Опубликовано
  • Автор
Опубликовано
  В 23.09.2023 в 15:29, thyrex сказал:

Шифровальщик активен.

 

Файлы с сообщениями от вымогателей

прикрепите в архиве к следующему сообщению.


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [svchost] => C:\Users\Ivan.Gridasov.Adm\AppData\Local\svchost.exe [57344 2023-08-22] () [Файл не подписан] <==== ВНИМАНИЕ
File: C:\Users\Ivan.Gridasov.Adm\AppData\Local\svchost.exe
File: D:\сертификат\svchost.exe
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-954303354-74777796-1033967165-1000\...\Run: [CCleaner Monitoring] => "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR (Нет файла)
HKU\S-1-5-21-954303354-74777796-1033967165-1009\...\Run: [svchost] => C:\Users\Ivan.Gridasov.Adm\AppData\Local\svchost.exe [57344 2023-08-22] () [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe [2023-08-22] () [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\Ivan.Gridasov.Adm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe [2023-08-22] () [Файл не подписан] <==== ВНИМАНИЕ
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 


 

Показать  

Диски уже отцепил - просто лежат вдруг удастся расшифровать, и установил ОС на новые диски.

 

HTA.zipПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
  В 23.09.2023 в 16:23, ches66 сказал:

Диски уже отцепил - просто лежат вдруг удастся расшифровать

Показать  

Проверили бы тогда сами C:\Users\Ivan.Gridasov.Adm\AppData\Local\svchost.exe на https://virustotal.com

Ссылка на комментарий
Поделиться на другие сайты
ches66 Новичок

ches66

Опубликовано
  • Автор
Опубликовано (изменено)
  В 23.09.2023 в 17:43, thyrex сказал:

Проверили бы тогда сами C:\Users\Ivan.Gridasov.Adm\AppData\Local\svchost.exe на https://virustotal.com

Показать  

https://www.virustotal.com/gui/file/e5b61af0243cd765eeb5b35b87b54685cc315abecc7662c3326712ad08e92e93?nocache=1

Стоит ли надеяться что файлы возможно расшифровать или уже все ?

Изменено пользователем ches66
Ссылка на комментарий
Поделиться на другие сайты
ches66 Новичок

ches66

Опубликовано
  • Автор
Опубликовано

Написали в личку с форума вот этот тип https://forum.kasperskyclub.ru/profile/67857-leo_samara/ 

Следующее сообщение Добрый, попробуйте написать   https://t.me/data_kos , поможет с дешифровкой .

Я написал этому контакту в телеграмм.

Меня попросили прислать зашифрованные файлы я скинул парочку. Мне прислали видео с их дешифровкой и сами дешифрованные файлы и готовый якобы скрипт в архиве запароленном. Дальше попросили 50к за услугу дешифровки базы данных:

"Стоимость нашей услуги 50 тыс рублей понимаю вашу обеспокоенность, ситуация ужасная с шифровкой. Можно как на зараженной машине, так и на новой ОС Для вашей безопасности, мы предлагаем подключиться к Вам через Ammy Admin / Anydesk , то есть мы будем видеть ваш рабочий стол и поможем с восстановлением Либо, даем инструкцию,пароль и вы самостоятельно можете восстановить для дешифровки достаточно 2х ядрес ЦПУ, процесс шифровки встроенныеми библиотеккми системы проходит, только указывается индивидуальный ключ"

Сторговались на 35к рублей.

Дальше попросил их тестово подключится по anydesk , они подключились.

После этого произвел оплату в биткоинах по указанному кошельку.

Ну и все тишина уже три часа.

 

Если эти твари это читают, пришлите ключ дешифрования!!!

 

НЕ ДОВЕРЯЙТЕ никому в личных сообщениях!!!

 

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • АндрейП
      Шифровальщик READ-ME-Nullhexxx
      Автор АндрейП
      Здравствуйте. Зашифровали два стареньких сервера терминалов, источник не понятен- ещё разбираемся. Подскажите есть шанс на расшифровку? На одном сервере у одного пользователя нашел в папке Pictures остатки вредоносного ПО, на втором в новой созданной злоумышленником учетке system32 почти такие же файлы, пришлю по запросу.
       
      файлы.rar
    • Justbox
      Шифровальщик id[00F2B780-3351].[qqtiq@tuta.io].deep
      Автор Justbox
      Добрый день!
      Найден шифровальщик 
      зашифровал файлы под именем имя_файла.id[00F2B780-3351].[qqtiq@tuta.io]
       
      примеры зашифрованных файлов.rar с файлом info.txt
       
      Определить Шифровальщик не получается, в связи с чем невозможно определить существует ли дешифровщик к нему.
      Нужна помощь! 
       
      примеры зашифрованных файлов.rar
    • arx
      Шифровальщик ELPACO-team el_kurva@tuta.io
      Автор arx
      Доброго времени суток. Поймали шифровальщика, зашифрованы документы, архивы, базы 1с. Система стала работать не корректно, не открываются приложения обычным способом, только от имени администратора. Взлом произошел путем подбора пароля к RDP, затем применили эксплоит, запустили CMD от админа и создали новую учетку с которой произошло шифрование. Есть скриншоты действий злоумышленников так же прилагаю. Прошу помощи по восстановлению работы системы и по возможности расшифровки файлов.
      Addition.txt FRST.txt Требования.txt Скрины.rar
    • WL787878
      Шифровальщик
      Автор WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
    • kokc1979
      Шифровальщик ooo4ps bitlocker
      Автор kokc1979
      Подхватил заразу. Вчера всё работало. Сегодня вечером обнаружилась проблема с шифровалкой. Ни какое ПО в этот промежуток ремени не устанавливалось. Ни чего не скачивалось.
      Log.rar 3File.rar
×
×
  • Создать...