Перейти к содержанию

поймали шифровальщик *.FuojbxAoJ

art197474
 Share

Рекомендуемые сообщения

art197474 Новичок

art197474

Опубликовано
Опубликовано (изменено)

попались на фишинговое письмо с "Актом сверки". Просьба оказать содействие в расшифровке, в основном документы и база 1С8

файлы по инструкции в закрепе

 

virus_pass_123451.7z Addition.txt FRST.txt

Изменено пользователем art197474
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, расшифровки этого типа вымогателя нет.

Сообщите нужна ли помощь в очистке системы от его следов (и не только) или планируете переустановку.

Ссылка на комментарий
Поделиться на другие сайты
  • 3 weeks later...
art197474 Новичок

art197474

Опубликовано
  • Автор
Опубликовано

Будьтье осторожны под видом советов в личные сообщения шлют контакты людей, которые также вытягивают деньги утверждая что могут расшифровать данные.

Вот этот товарищ прислал контакт https://forum.kasperskyclub.ru/profile/68549-igor_lavrentij/

цитата "добрый день, попробуйте написать этому человеку, поможет с восстановлением  https://t.me/help_daemon"

в телеграмм переписка уже подчищена

оплату просят в BTC: Оплата на кошелек BTC
Bitcoin (BTC) Address: bc1qchm9tnxkn05nt2xm0u9axj9vf98x9gm67fdut3

 

Запросил примеры зашифрованных файлов. Потом прислал короткий ролик на котором файлы в папке при выполнении некоего скрипта расшифровываются. 

Наотрез не соглашался на частичную предплату или по окончанию дешифровки.

после частичной оплаты прислал запароленный архив якобы с расшифрованной базой, и за пароль от архива просил еще денег.

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

По очистке системы:

Активных бэкдоров уже нет.

Выполните скрипт очистки в uVS из буфера обмена.

Запускаем start.exe от имени Администратора (если не запущен сейчас)

в меню выбираем текущий пользователь, далее

Копируем в браузере скрипт в буфер обмена, закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже.
  

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

hide %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
delall %SystemDrive%\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE
delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
delref HTTP://SEARCH.CONDUIT.COM/RESULTSEXT.ASPX?Q={SEARCHTERMS}&SEARCHSOURCE=4&CTID=CT2127165
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FMFNFNPMHCLLOKMKEPFFNDFLPNADJMMA\3.9.4.9_0\DEALPLY BRAZIL
delall %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\DC7F192055060B03A9DB3F317CC46541\36F7D20F552D448A5F306F2274BB6B61D9BCC1B2
delall E:\AUTOINSTALLER.EXE
delall I:\AUTORUN.EXE
delall E:\AUTORUN.EXE
delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\STARTMENU\BARBIE™ 12 ТАНЦУЮЩИХ ПРИНЦЕСС.LNK
delall %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\676FF3271B9D11A2D48EA2D2A8121EC1\C5A606B976529FE9A27C8FAF35D5C7A0A18FB874
delref FILES\DEALPLY\DEALPLYUPDATE.EXE
zoo %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\DOWNLOADS\GET-STYLES.EXE
addsgn 1A760C9A5583358CF42B62D9D45D53054175C9F689FA1FF3C1E7D5353CF261C14F33D37CDE06CB1E8A34E5DC46270C064E1AB8FB30324F59D5FCE1D30043DE8D 8 Adware.Bho.3875 [DrWeb] 7

chklst
delvir

deldirex %SystemDrive%\USERS\755E~1\APPDATA\ROAMING\DSITE\UPDATE~1

deldirex %SystemDrive%\PROGRAM FILES\DEALPLY

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
apply

; DealPly (remove only)
exec C:\Program Files\DealPly\uninst.exe

; Get Styles for Opera
exec C:\Program Files\Get-Styles 2.0\op\uninstall.exe

; Get-Styles for Chrome
exec C:\Program Files\Get-Styles 2.0\ch\uninstall.exe

; Get-Styles for IE
exec C:\Program Files\Get-Styles 2.0\ie\uninstall.exe

; Get-Styles для ВКонтакте
exec C:\Program Files\Get-Styles 2.0\utils\uninstall.exe

; Radio W Toolbar
exec C:\Program Files\Radio_W\uninstall.exe

; Java(TM) 6 Update 29
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216018FF} /quiet

; DealPly
exec C:\Users\пользователь\AppData\Roaming\DealPly\UpdateProc\UpdateTask.exe /Uninstall

deltmp
delref %SystemDrive%\USERS\755E~1\APPDATA\ROAMING\DSITE\UPDATE~1\UPDATE~1.EXE
delref %SystemDrive%\PROGRAM
delref %SystemDrive%\PROGRAM FILES\MICROSOFT SECURITY CLIENT\MPCMDRUN.EXE
delref %SystemDrive%\PROGRAM FILES\THE SIMS 3\THE SIMS 3 ВСЕ ВОЗРАСТЫ\GAME\BIN\TS3EP04.EXE
delref %SystemDrive%\PROGRAM FILES\THE SIMS 3\GAME\BIN\TS3.EXE
delref D:\SETUP\REDIST\DIRECTX8\DXSETUP.EXE
delref %SystemDrive%\PROGRAM FILES\BARBIE(TM)\ПАРАД ЗВЕРЮШЕК КЛУБА ШЕЛЛИ\LAUNCH.EXE
delref D:\DIRECTX 9.0C\DXSETUP.EXE
delref D:\SIMS3SP06SETUP.EXE
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\DOWNLOADS\X820_USB_DRIVER.EXE
delref %SystemDrive%\PROGRA~1\DIRECTX\DXSETUP.EXE
delref %SystemDrive%\PROGRAM FILES\ZTEMF626\БИЛАЙН ИНТЕРНЕТ ДОМА\BEELINE HOME INTERNET.EXE
delref D:\SUPPORT\MYSIMS_CODE.EXE
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\ZVEAJ6DN\RADIO_W[1].EXE
delref %SystemDrive%\PROGRAM FILES\THE SIMS 3 - ИНТЕРНЫ\GAME\BIN\TS3.EXE
delref %SystemDrive%\GAMES\BRATZB~1\UNWISE.EXE
delref %SystemDrive%\PROGRAM FILES\SHREK 2 ACTIVITY CENTER\UNINSTALL.EXE
delref D:\SETUP.EXE
delref D:\VP6\VP6INSTALL.EXE
delref D:\OALINST.EXE
delref %SystemDrive%\GAMES\RATATOUILLE\RAT\GAMESETUP.EXE
delref D:\GAME0.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID]
delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCALLOW\RADIO_W\PRXTBRAD1.DLL
delref %SystemDrive%\PROGRAM FILES\RADIO_W\PRXTBRAD0.DLL
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %SystemDrive%\PROGRAM FILES\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref {0563DB41-F538-4B37-A92D-4659049B7766}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\EWUSBNET.SYS
delref %SystemRoot%\GDRV.SYS
delref %Sys32%\DRIVERS\EWUSBDEV.SYS
delref %SystemDrive%\PROGRA~1\MCAFEE\SITEAD~1\MCSACORE.EXE
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\MICROSOFT ANTIMALWARE\DEFINITION UPDATES\{DE55280B-64B4-4950-9B4B-48ACE178A58C}\MPKSL2083043C.SYS
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\MICROSOFT ANTIMALWARE\DEFINITION UPDATES\{DE55280B-64B4-4950-9B4B-48ACE178A58C}\MPKSL557622FC.SYS
delref %Sys32%\PSXSS.EXE
delref {5A8FF410-F3CE-4844-B31B-F18D911239E8}\[CLSID]
delref {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064}\[CLSID]
delref {30F9B915-B755-4826-820B-08FBA6BD249D}\[CLSID]
delref {963B125B-8B21-49A2-A3A8-E37092276531}\[CLSID]
delref {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\[CLSID]
delref {B164E929-A1B6-4A06-B104-2CD0E90A88FF}\[CLSID]
delref {B4EFB02B-CD4A-44B9-B5D9-AA486CDFFAB6}\[CLSID]
delref D:\SETUP\REMOVE.EXE
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\BROMIUM\APPLICATION\18.0.1025.1634\INSTALLER\SETUP.EXE
delref %SystemDrive%\PROGRAM FILES\BARBIE(TM)\BARBIE(TM) IN THE 12 DANCING PRINCESSES\GAME.EXE
delref %SystemDrive%\PROGRAM FILES\ICE AGE 3 - DAWN OF THE DINOSAURS\ICEAGE3.EXE
delref %SystemDrive%\PROGRAM FILES\CONNECT MANAGER\UIMAIN.EXE
delref %SystemDrive%\GAMES\STYLING FACTORY\STYLINGFACTORY.EXE
delref %SystemDrive%\PROGRAM FILES\ORIGIN\ORIGIN.EXE
delref %SystemDrive%\PROGRAM FILES\ORIGIN\ORIGINUNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES\VKSAVER\VKSAVERUI.EXE
delref %SystemDrive%\BP7\BP.EXE
delref %SystemDrive%\PROGRAM FILES\SHREK 2\SYSTEM\GAME.EXE
delref %SystemDrive%\PROGRAM FILES\SHREK 2\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES\SHREK 2 ACTIVITY CENTER\SHREK2.EXE
;-------------------------------------------------------------

restart
czoo

Пришлите нам файл лога очистки: дата_времяlog.txt из папки, откуда запускали uVS.

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

К сожалению, расшифровка файлов после Lockbit v3Black/CryptomanGizmo невозможна без приватного ключа.

Сохраните важные зашифрованные файлы на отдельный носитель, возможно в будущем расшифровка станет возможной.

Пока единственный способ защититься -зашита от проникновения, запрет на запуск исполняемых файлов из архивных файлов, актуальная антивирусная защита всех узлов, наличие бэкапов.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Максим Шахторин
      Тоже Поймали шифровальщика ELPACO-team
      От Максим Шахторин
      Здравствуйте, ELPACO-team залетел в наш сервер, зашифровал 1с, если кто научился дешифровать, дайте знать. Хакеры указали не вменяемую сумму за ключ.
    • AndOrNot
      Поймал шифровальщик ooo4ps и Bitlocker
      От AndOrNot
      Сегодня с утра обнаружилось, что файлы документов на системном диске сервера 1С зашифрованы шифровальщиком. В папках содержится файл FILES_ENCRYPTED.txt, файлы имеют расширение .ooo4ps, локальный диск E:, на котором содержались базы 1С, заблокирован Bitlocker. USB диск, подключенный к серверу и содержавший Windows Backup, пустой. Судя по времени создания файлов, вредонос работал утром в субботу. Прошу помощи.
       
      ooo4ps.zip
    • Insaff
      Поймали Шифровальщика
      От Insaff
      Во всех расшареных папках зашифрованы файлы.
      Файлы имеют расширение ELPACO-team-***gCG***
      в некоторых папках лежит письмо с текстом
       
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by ELPACO-team
      Your decryption ID is *****QR14*ELPACO-team-gCG****
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - el_kurva@tuta.io
      2) Telegram - @DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      Написал я им на почту, пришел ответ, что надо заплатить 0,25 биткоина (получается около 1,5 млн)
      Есть ли Возможность у ко-нить за вознаграждение, чуть меньшее)) помочь с этим шифровальщиком.
       
       
      Молотки Можайск.pdf.zip
    • АлександрК879
      Поймали шифровальщика Lockbit Black
      От АлександрК879
      Здравствуйте. Поймали эту мерзость.
      В файле virus.zip - сами зашифрованные файлы и требование
      В файле archiv.zip - те же файлы расшифрованные
      Логи остальное 
      Архив.zip virus.zip Addition.txt FRST.txt
    • slot9543
      Поймали шифровальщика на сервер
      От slot9543
      Поймали шифровальщика на несколько виртуальных серверов которые находятся на одном гипервизоре VMware.
      Собрал информацию для одного из серверов (есть еще второй зашифрованный, но он пока не запускается).

      В систему проникли основательно, удалили все вируталки с бекапами.
      Бэкапов нет, очень хочется расшифровать.

      В системе присутствует файл C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE
      Упаковал его в архив с паролем virus и готов скинуть ссылку на этот архив в облаке.


      Заранее спасибо!
      ЗашифрованныеФайлы.zip Addition.txt FRST.txt
×
×
  • Создать...