Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Шифровальщик captain-america@tuta.io].deep

ches66
 Поделиться

Рекомендуемые сообщения

ches66 Новичок

ches66

Опубликовано
Опубликовано

Добрый день!

Найден шифровальщик 

зашифровал файлы под именем .id[D80C2187-3352].[captain-america@tuta.io].deep

Определить Шифровальщик не получается, в связи с чем невозможно определить существует ли дешифровщик к нему.

Нужна помощь! 

Доступ АТС.txt.id[D80C2187-3352].[captain-america@tuta.io].zipПолучение информации...

FRST.zipПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Шифровальщик активен.

 

Файлы с сообщениями от вымогателей

  Цитата

C:\info.hta
C:\info.txt

Показать  

прикрепите в архиве к следующему сообщению.


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [svchost] => C:\Users\Ivan.Gridasov.Adm\AppData\Local\svchost.exe [57344 2023-08-22] () [Файл не подписан] <==== ВНИМАНИЕ
File: C:\Users\Ivan.Gridasov.Adm\AppData\Local\svchost.exe
File: D:\сертификат\svchost.exe
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-954303354-74777796-1033967165-1000\...\Run: [CCleaner Monitoring] => "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR (Нет файла)
HKU\S-1-5-21-954303354-74777796-1033967165-1009\...\Run: [svchost] => C:\Users\Ivan.Gridasov.Adm\AppData\Local\svchost.exe [57344 2023-08-22] () [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe [2023-08-22] () [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\Ivan.Gridasov.Adm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe [2023-08-22] () [Файл не подписан] <==== ВНИМАНИЕ
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на комментарий
Поделиться на другие сайты
ches66 Новичок

ches66

Опубликовано
  • Автор
Опубликовано
  В 23.09.2023 в 15:29, thyrex сказал:

Шифровальщик активен.

 

Файлы с сообщениями от вымогателей

прикрепите в архиве к следующему сообщению.


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [svchost] => C:\Users\Ivan.Gridasov.Adm\AppData\Local\svchost.exe [57344 2023-08-22] () [Файл не подписан] <==== ВНИМАНИЕ
File: C:\Users\Ivan.Gridasov.Adm\AppData\Local\svchost.exe
File: D:\сертификат\svchost.exe
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-954303354-74777796-1033967165-1000\...\Run: [CCleaner Monitoring] => "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR (Нет файла)
HKU\S-1-5-21-954303354-74777796-1033967165-1009\...\Run: [svchost] => C:\Users\Ivan.Gridasov.Adm\AppData\Local\svchost.exe [57344 2023-08-22] () [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe [2023-08-22] () [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\Ivan.Gridasov.Adm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe [2023-08-22] () [Файл не подписан] <==== ВНИМАНИЕ
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 


 

Показать  

Диски уже отцепил - просто лежат вдруг удастся расшифровать, и установил ОС на новые диски.

 

HTA.zipПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
  В 23.09.2023 в 16:23, ches66 сказал:

Диски уже отцепил - просто лежат вдруг удастся расшифровать

Показать  

Проверили бы тогда сами C:\Users\Ivan.Gridasov.Adm\AppData\Local\svchost.exe на https://virustotal.com

Ссылка на комментарий
Поделиться на другие сайты
ches66 Новичок

ches66

Опубликовано
  • Автор
Опубликовано (изменено)
  В 23.09.2023 в 17:43, thyrex сказал:

Проверили бы тогда сами C:\Users\Ivan.Gridasov.Adm\AppData\Local\svchost.exe на https://virustotal.com

Показать  

https://www.virustotal.com/gui/file/e5b61af0243cd765eeb5b35b87b54685cc315abecc7662c3326712ad08e92e93?nocache=1

Стоит ли надеяться что файлы возможно расшифровать или уже все ?

Изменено пользователем ches66
Ссылка на комментарий
Поделиться на другие сайты
ches66 Новичок

ches66

Опубликовано
  • Автор
Опубликовано

Написали в личку с форума вот этот тип https://forum.kasperskyclub.ru/profile/67857-leo_samara/ 

Следующее сообщение Добрый, попробуйте написать   https://t.me/data_kos , поможет с дешифровкой .

Я написал этому контакту в телеграмм.

Меня попросили прислать зашифрованные файлы я скинул парочку. Мне прислали видео с их дешифровкой и сами дешифрованные файлы и готовый якобы скрипт в архиве запароленном. Дальше попросили 50к за услугу дешифровки базы данных:

"Стоимость нашей услуги 50 тыс рублей понимаю вашу обеспокоенность, ситуация ужасная с шифровкой. Можно как на зараженной машине, так и на новой ОС Для вашей безопасности, мы предлагаем подключиться к Вам через Ammy Admin / Anydesk , то есть мы будем видеть ваш рабочий стол и поможем с восстановлением Либо, даем инструкцию,пароль и вы самостоятельно можете восстановить для дешифровки достаточно 2х ядрес ЦПУ, процесс шифровки встроенныеми библиотеккми системы проходит, только указывается индивидуальный ключ"

Сторговались на 35к рублей.

Дальше попросил их тестово подключится по anydesk , они подключились.

После этого произвел оплату в биткоинах по указанному кошельку.

Ну и все тишина уже три часа.

 

Если эти твари это читают, пришлите ключ дешифрования!!!

 

НЕ ДОВЕРЯЙТЕ никому в личных сообщениях!!!

 

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KOMK
      Шифровальщик zimmer1488
      Автор KOMK
      Доброго времени суток.
      Поймали шифровальщик.Атакована вся организация. Выясняем источник откуда и как,но раскидался он по рдп на как минимум 7 рабочих мест, включая серв  АД и 1С. Так же на одном из предполагаемых источников заражения была обнаружена программа Everything API и крипто-программа КАРМА,мб оно как-то даст какую-то полезность?
      А так же папка с файлами именованная как "automim1"?
      Скажите вообще есть ли надежда что как-то можно найти остатки шифровальщика? Шифрованные файлы и файл записку прилагаю в архиве с паролем "virus":
      Остальное не знаю как добавить,вес больше 5мб получается.
       
      sekr_2.7z
    • Игорь_Белов
      Шифровальщик AES
      Автор Игорь_Белов
      Доброго времени суток. 
      Прошу помощи, словил вирус шифровальщик, недавно созданный сервер для теста 1с, поймал вирус, файлы баз данных зашифровались. 
      Прошу помочь в определение вируса, по возможности расшифровать. И как его побороть.
       
      scan.zip
    • __Михаил__
      Шифровальщик IxehUe8Rg
      Автор __Михаил__
      Добрый! 
      Пожалуйста, помогите расшифровать файлы на компьютере.
      Шифровальщик IxehUe8Rg.
      Файлы образцы и требование выкупа во вложении.
      Анализ_2.xlsx.rar
       
      Я так понимаю это CriptomanGizmo и с ним проблема.
      У меня есть несколько копий файлов не зашифрованных , с другого устройства.
      Может это поможет?
    • Stanislav42
      шифровальщик .Elons
      Автор Stanislav42
      Добрый день! Пострадало несколько windows-устройств от действий шифровальщика и вымогает за расшифровку деньги.
      Прошу оказать помощь в расшифровке файлов.
      Отправляю архив с образцами файлов и с текстом требований, а также логи FRST.
      Шифрование произошло в ночное время. Журнал событий Windows очищен. Устройства перезагружались.
      Системы изолированы на данный момент. Исполняемый файл найден и подготовлен к отправке. 
      образцы файлов.zip Addition.txt FRST.txt
    • foroven
      Шифровальщик @FEAR.PW
      Автор foroven
      Добрый день. Схватили шифровальщика. Предположительно взломали подбором пароля к RDP. В сети Logs$files.7zна компьютере с установленным антивирусом Касперского, выдал предупреждение об атаке, брутфорс на порт 3389
×
×
  • Создать...