crysis Прошу помочь с расшифровкой файлов *.SYSDF

[Bruce007]

Зараженные файлы.rar Здравствуйте! Подцепили вирус шифровальщик, я не очень разобрался как тему оформлять, пожалуйста, подскажите как систему проанализировать с помощью farbar, могу подсьединить жесткие диски к компьютеру с работоспособной системой (два жестких диска заражены)

Прикладываю архив с тремя файлами - один - записка о том, как связаться и две зашифрованных скриншота

[safety]

по логам FRST просто следуйте этой инструкции, утилита сама соберет в лог все что надо для анализа.

[Bruce007]

7 минут назад, safety сказал:

по логам FRST просто следуйте этой инструкции, утилита сама соберет в лог все что надо для анализа.

Я понял, скажите, а если ничего не получится и придется рассматривать вариант с оплатой вымогателям, эта процедура не помешает расшифровке?

[safety]

эта процедура с логами не помешает дешифровке файлов в случае если будет получен/найден/выкуплен приватный ключ и дешифратор. Выкупать дешифратор не рекомендуем, можете просто потерять деньги и не получить ничего. Такое часто бывает.

 

судя по маркеру из тела зашифрованного файла:

00000000020000000CFE7A410000000000000000000000002000000000000000

это Crysis

Дешифровка файлов невозможна без приватного ключа, но логи рекомендуем собрать, так как система может быть еще заражена файлами шифровальщика. В случае шифрования Crysis файлы шифровальщика прописаны в автозапуск.

 

Изменено 22 марта, 2024 пользователем safety

[Bruce007]

1 час назад, safety сказал:

по логам FRST просто следуйте этой инструкции, утилита сама соберет в лог все что надо для анализа.

 

FRST.txt

[safety]

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы

Start::
HKLM\...\Run: [WIN.EXE] => C:\Users\User\AppData\Roaming\WIN.EXE [94720 2024-03-22] ()
HKLM\...\Run: [C:\Windows\System32\Info.hta] => mshta.exe "C:\Windows\System32\Info.hta" [7914 2024-03-22] ()
2024-03-22 14:10 - 2024-03-22 14:10 - 000094720 _____ C:\Users\User\AppData\Roaming\WIN.EXE
2024-03-21 23:19 - 2024-03-21 23:19 - 000094720 _____ C:\Windows\System32\WIN.EXE
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine в архив с паролем virus, загрузите архив на облачный диск, дайте ссылку на скачивание в ЛС.

+

далее,

можно из нормального или безопасного режима:

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено 23 марта, 2024 пользователем safety

[Bruce007]

Я,конечно,сделаю,но шансов нет я так понимаю?

[safety]

1 hour ago, Bruce007 said:

Я,конечно,сделаю,но шансов нет я так понимаю?

С расшифровкой файлов по данному типу не сможем вам помочь. Скрипт все таки выполните, нам нужен будет карантин для анализа сэмпла шифровальщика, так как случай не совсем типичный. Обычно,Crysis создает записку о выкупе с другим именем.

Изменено 23 марта, 2024 пользователем safety

[Bruce007]

Надеюсь это будет другой тип и у вас есть лекарство)

[Bruce007]

Прошу прощения, что так долго

uvs_latest.zip

[safety]

архив с uVS не нужен, нужен файл образа, он должен быть в папке uvs_latest, если только вы uVS стартовали не из архива.

маска файла: Ваш компьютер_дата_время_версия.7z