Перейти к содержанию
Новогодняя встреча Kaspersky Club. Записывайся скорее!

Шифровальщик с расширением

sabo
 Поделиться

Рекомендуемые сообщения

sabo

sabo

Опубликовано
Опубликовано

Добрый день поймал шифровальщика на ПК, скорее всего взлом по РДП

1.rar

safety

safety

Опубликовано
Опубликовано

Систему просканировали антивирусом? можете предоставить лог сканирования?

sabo

sabo

Опубликовано
  • Автор
Опубликовано (изменено)
5 минут назад, safety сказал:

Систему просканировали антивирусом? можете предоставить лог сканирования?

К сожалению систему пришлось переустановить, зашифровано много файлов, фото, документы, виртуальные машины, и другое

Антивирус ничего не показал

Большинство программ не запускалось, вплоть до встроенных в систему

Изменено пользователем sabo
safety

safety

Опубликовано
Опубликовано
22 minutes ago, sabo said:

Антивирус ничего не показал

Здесь я виду у вас установлен Дрвеб

(C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe ->) (Doctor Web Ltd. -> Doctor Web, Ltd.) C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwarkdaemon.exe

 

шифрование произошло при установленном антивирусе или установили после шифрования?

23 minutes ago, sabo said:

Большинство программ не запускалось, вплоть до встроенных в систему

Скорее всего вместе с шифрованием был запущен сэмпл Neshta для заражения исполняемых файлов.

sabo

sabo

Опубликовано
  • Автор
Опубликовано
5 минут назад, safety сказал:

Здесь я виду у вас установлен Дрвеб

(C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe ->) (Doctor Web Ltd. -> Doctor Web, Ltd.) C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwarkdaemon.exe

 

шифрование произошло при установленном антивирусе или установили после шифрования?

Скорее всего вместе с шифрованием был запущен сэмпл Neshta для заражения исполняемых файлов.

Был установлен

safety

safety

Опубликовано
Опубликовано
1 minute ago, sabo said:

Был установлен

Значит пропуск был, или смогли отключить защиту на момент шифрования. Без сэмпла шифровальщика мы ничем не сможем вам помочь. Тем более после переустановки системы.

 

По данному шифровальщику PROXIMA/Blackshow расшифровка невозможна без приватного ключа.

sabo

sabo

Опубликовано
  • Автор
Опубликовано (изменено)

У меня осталась виртуальная машина с данными которые нужно вытянуть, что нужно сделать

она запускается

 

Изменено пользователем sabo
safety

safety

Опубликовано
Опубликовано

Можно так же несколько зашифрованных файлов + записку о выкупе+сделать логи FRST, + лог, который описал в ЛС

+ образ автозапуска в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Прохор
      Зашифровали корпоративный сервер
      Автор Прохор
      Добрый день, зашифровали корпоративные сервера с требованием выкупа. Что делать не знаем, прилагаю образец шифра и письмо мошенников.
      файлы.rar
    • mutosha
      нужна помощь в дешефровани blackFL (есть exe и строчка с паролем из power shell)
      Автор mutosha
      Добрый день.
       
      Поймали шифровальщика "blackFL", успел скопировать строчку с паролем из открытого power shell, н арабочем столе.
      "C:\Users\Администратор\Pictures>1.exe -path E:\ -pass b9ec0c541dbfd54c9af6ca6cccedaea9"
       
       
      Сам "1.exe" из ""C:\Users\Администратор\Pictures"  скопировать не успел, но нашел какой-то "1.exe" на рабочем столе, приложил.
      Прикладываю логи Farbar Recovery Scan Tool.
       
      Прикладываю ссылку на шифрованный  файл (7.5 мегабайта, а прикрепить можно только менее 5), когда-то это был mp4 ролик, ничего меньше по размеру не нашлось.
      https://transfiles.ru/j5o79
       
      Файлов с требованием у меня встречаются почему-то три с разными названиями, содержимое вроде одно.
       
      Очень надеюсь на помощь.
       
       
      1.7z Addition_01-12-2025 00.35.40.txt FRST_01-12-2025 00.31.27.txt README_BlackFL.txt lK0kDJCSf.README.txt READ_ME.txt
    • Сергей__
      BlackFL
      Автор Сергей__
      Зашифровались файлы BlackFL
      есть дешифратор?
      TNI.zip
    • Alex F
      Шифровальщик BlackFL
      Автор Alex F
      Добрый день.
       
      Прошу помощи в расшифровке файлов зашифрованных вирусом вымогателем.
       
      Архив во вложении. 
      Archive.7z
    • MBA
      Вирус шифровальщик. Файлы с расширением hype
      Автор MBA
      Добрый день. Заразились компы. Помогите с расшифровкой. Файлы зашифрованы и добавилось расширение с текстом ".EMAIL=[ranshype@gmail.com]ID=[35390D080FB82A02].hype". Архив с результатами сканирования, сообщением о выкупе и примерами зашифрованных файлов прилагаю;
      Архив.zip
×
×
  • Создать...