Перейти к содержанию

Шифровальщик captain-america@tuta.io].deep

ches66
 Share

Рекомендуемые сообщения

ches66 Новичок

ches66

Опубликовано
Опубликовано

Добрый день!

Найден шифровальщик 

зашифровал файлы под именем .id[D80C2187-3352].[captain-america@tuta.io].deep

Определить Шифровальщик не получается, в связи с чем невозможно определить существует ли дешифровщик к нему.

Нужна помощь! 

Доступ АТС.txt.id[D80C2187-3352].[captain-america@tuta.io].zip

FRST.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Шифровальщик активен.

 

Файлы с сообщениями от вымогателей

Цитата

C:\info.hta
C:\info.txt

прикрепите в архиве к следующему сообщению.


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [svchost] => C:\Users\Ivan.Gridasov.Adm\AppData\Local\svchost.exe [57344 2023-08-22] () [Файл не подписан] <==== ВНИМАНИЕ
File: C:\Users\Ivan.Gridasov.Adm\AppData\Local\svchost.exe
File: D:\сертификат\svchost.exe
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-954303354-74777796-1033967165-1000\...\Run: [CCleaner Monitoring] => "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR (Нет файла)
HKU\S-1-5-21-954303354-74777796-1033967165-1009\...\Run: [svchost] => C:\Users\Ivan.Gridasov.Adm\AppData\Local\svchost.exe [57344 2023-08-22] () [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe [2023-08-22] () [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\Ivan.Gridasov.Adm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe [2023-08-22] () [Файл не подписан] <==== ВНИМАНИЕ
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на комментарий
Поделиться на другие сайты
ches66 Новичок

ches66

Опубликовано
  • Автор
Опубликовано
29 минут назад, thyrex сказал:

Шифровальщик активен.

 

Файлы с сообщениями от вымогателей

прикрепите в архиве к следующему сообщению.


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 


Start::
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [svchost] => C:\Users\Ivan.Gridasov.Adm\AppData\Local\svchost.exe [57344 2023-08-22] () [Файл не подписан] <==== ВНИМАНИЕ
File: C:\Users\Ivan.Gridasov.Adm\AppData\Local\svchost.exe
File: D:\сертификат\svchost.exe
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-954303354-74777796-1033967165-1000\...\Run: [CCleaner Monitoring] => "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR (Нет файла)
HKU\S-1-5-21-954303354-74777796-1033967165-1009\...\Run: [svchost] => C:\Users\Ivan.Gridasov.Adm\AppData\Local\svchost.exe [57344 2023-08-22] () [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe [2023-08-22] () [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\Ivan.Gridasov.Adm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe [2023-08-22] () [Файл не подписан] <==== ВНИМАНИЕ
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 


 

Диски уже отцепил - просто лежат вдруг удастся расшифровать, и установил ОС на новые диски.

 

HTA.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
1 час назад, ches66 сказал:

Диски уже отцепил - просто лежат вдруг удастся расшифровать

Проверили бы тогда сами C:\Users\Ivan.Gridasov.Adm\AppData\Local\svchost.exe на https://virustotal.com

Ссылка на комментарий
Поделиться на другие сайты
ches66 Новичок

ches66

Опубликовано
  • Автор
Опубликовано (изменено)
13 минут назад, thyrex сказал:

Проверили бы тогда сами C:\Users\Ivan.Gridasov.Adm\AppData\Local\svchost.exe на https://virustotal.com

https://www.virustotal.com/gui/file/e5b61af0243cd765eeb5b35b87b54685cc315abecc7662c3326712ad08e92e93?nocache=1

Стоит ли надеяться что файлы возможно расшифровать или уже все ?

Изменено пользователем ches66
Ссылка на комментарий
Поделиться на другие сайты
ches66 Новичок

ches66

Опубликовано
  • Автор
Опубликовано

Написали в личку с форума вот этот тип https://forum.kasperskyclub.ru/profile/67857-leo_samara/ 

Следующее сообщение Добрый, попробуйте написать   https://t.me/data_kos , поможет с дешифровкой .

Я написал этому контакту в телеграмм.

Меня попросили прислать зашифрованные файлы я скинул парочку. Мне прислали видео с их дешифровкой и сами дешифрованные файлы и готовый якобы скрипт в архиве запароленном. Дальше попросили 50к за услугу дешифровки базы данных:

"Стоимость нашей услуги 50 тыс рублей понимаю вашу обеспокоенность, ситуация ужасная с шифровкой. Можно как на зараженной машине, так и на новой ОС Для вашей безопасности, мы предлагаем подключиться к Вам через Ammy Admin / Anydesk , то есть мы будем видеть ваш рабочий стол и поможем с восстановлением Либо, даем инструкцию,пароль и вы самостоятельно можете восстановить для дешифровки достаточно 2х ядрес ЦПУ, процесс шифровки встроенныеми библиотеккми системы проходит, только указывается индивидуальный ключ"

Сторговались на 35к рублей.

Дальше попросил их тестово подключится по anydesk , они подключились.

После этого произвел оплату в биткоинах по указанному кошельку.

Ну и все тишина уже три часа.

 

Если эти твари это читают, пришлите ключ дешифрования!!!

 

НЕ ДОВЕРЯЙТЕ никому в личных сообщениях!!!

 

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Justbox
      Шифровальщик id[00F2B780-3351].[qqtiq@tuta.io].deep
      От Justbox
      Добрый день!
      Найден шифровальщик 
      зашифровал файлы под именем имя_файла.id[00F2B780-3351].[qqtiq@tuta.io]
       
      примеры зашифрованных файлов.rar с файлом info.txt
       
      Определить Шифровальщик не получается, в связи с чем невозможно определить существует ли дешифровщик к нему.
      Нужна помощь! 
       
      примеры зашифрованных файлов.rar
    • denis_01r
      Шифровальщик [ID-CTIKC_Mail-Vertalic@Tuta.io].HAA
      От denis_01r
      Добрый день!
      На сервер 1С попал вирус. 1С серверная, УТ11. Стоит на mssql. Вирус - шифровальщик. Зашифровал все файлы mdf и ldf. Теперь к концу файла после расширения приписано _[ID-CTIKC_mail-Veryic@Tuta.io].haa
      Ничем не открывается естественно
      На текущий момент система переустановлена. Но есть бекап.
      Addition (1).txt FRST (1).txt
    • hafer
      Поймали шифровальщик. Расширение файлов _[ID-KTRKI_Mail-Vertalic@Tuta.io].LKH
      От hafer
      Windows Server 2012 Standart
      Зашифрованы документы, базы 1с на диске С и D
      FRST.zip
    • arx
      Шифровальщик ELPACO-team el_kurva@tuta.io
      От arx
      Доброго времени суток. Поймали шифровальщика, зашифрованы документы, архивы, базы 1с. Система стала работать не корректно, не открываются приложения обычным способом, только от имени администратора. Взлом произошел путем подбора пароля к RDP, затем применили эксплоит, запустили CMD от админа и создали новую учетку с которой произошло шифрование. Есть скриншоты действий злоумышленников так же прилагаю. Прошу помощи по восстановлению работы системы и по возможности расшифровки файлов.
      Addition.txt FRST.txt Требования.txt Скрины.rar
    • Александр94
      Шифровальщик
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
×
×
  • Создать...