Перейти к содержанию

Взлом по RDP и шифровка файлов

Владимир В. А.
 Share

Рекомендуемые сообщения

Владимир В. А. Новичок

Владимир В. А.

Опубликовано
Опубликовано (изменено)

Добрый день!

 

Windows 7 Pro x64

Прошу помочь, с очисткой компа от вируса и дешифровкой файлов. Зашел по RDP, подобрал пароль к учетке и через неё зашел на три компа, пошифровал много чего (в том числе загрузочные записи испортил).

В дальнейшем предполагаю переставить систему.

 

Addition.txt files.zip FRST.txt

Изменено пользователем Владимир В. А.
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Систему уже проверяли антивирусными сканерами? можете предоставить логи сканирования?

С расшифровкой не поможем, файлы зашифрованы Mimic/N3ww4v3, сохраните важные документы на отдельный носитель, возможно в будущем расшифровка станет возможной.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Файлы шифровальщика заархивируйте в один файл с паролем infected, загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Владимир В. А. Новичок

Владимир В. А.

Опубликовано
  • Автор
Опубликовано

Сделал. 

Оказывается шифровка шла одновременно с нескольких разных компьютеров, с разным и decrypt id и в некоторых местах перешифровал свои же ini и db поэтому взял где более полно файлы есть шифровщика, и оттуда же зашифрованные файлы

files2.zip

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
12 minutes ago, Владимир В. А. said:

Сделал. 

известен в течение 1, 5 месяцев, детектируется основными антивирусами.

 

Quote

с разным и decrypt id

ID есть в записках о выкупе.

YOUR PERSONAL DECRYPTION ID - XXXXXXXXXXXXXXXXXXXXXX*ZERODAYHORSE

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
  • 3 months later...
Владимир В. А. Новичок

Владимир В. А.

Опубликовано
  • Автор
Опубликовано (изменено)

Хотелось бы вернуться к решения последствий.

После выкупа прислали дешифраторы, после запуска дешифратора на уже свежепоставленной win 10 при загрузке (перезагрузке) монтируются загрузочные разделы (которые по 100-500Мб) на буквы z y и так далее. 

Не могу понять, где это вычистить.. 

Автозагрузку смотрел, ничего подозрительно. Mount points проверял, вроде тоже ничего подозрительного, но это не точно) куда еще можно посмотреть?

Изменено пользователем Владимир В. А.
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

до шифрования на диске было сколько разделов?  после работы дешифратора под каждый раздел добавлены загрузочные разделы?

Ссылка на комментарий
Поделиться на другие сайты
Владимир В. А. Новичок

Владимир В. А.

Опубликовано
  • Автор
Опубликовано
9 часов назад, safety сказал:

до шифрования на диске было сколько разделов?  после работы дешифратора под каждый раздел добавлены загрузочные разделы?

До шифрования был ссд c вин7, после шифрования, ссд был отформатирован в GPT с тремя разделами - 1, EFI 100МБ, 2, раздел с системой 446ГБ, 3, "Раздел восстановления" 520МБ.

После перезагрузки 1 и 3 раздел получают буквы Z и Y, удаляю через diskpart, после перезагрузки снова.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Возможно, какой-то софт монтирует эти области диска через буквы. Пробуйте обратиться в раздел компьютерной помощи. (Я, кстати, тоже замечал это при тестовых расшифровках по mimic на VM W7)

Изменено пользователем safety
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем
×
×
  • Создать...