Перейти к содержанию

Расшифровка файлов

couzee
 Поделиться

Рекомендуемые сообщения

couzee

couzee

Опубликовано
Опубликовано

Добрый день. На файловом сервере зашифровало  .NESCHELKAIEBALOM.

Помогите с расшифровкой.

couzee

couzee

Опубликовано
  • Автор
Опубликовано

В инструкции указана ссылка на скачивание программы для Windows. На нашем файловом сервер стоит ОС Linux Ubuntu. Есть какие-то альтернативные программы для такой ОС?

Sandor

Sandor

Опубликовано
Опубликовано

Нет, значит сделайте остальное - образцы зашифрованных документов и записку с требованием выкупа в архиве прикрепите к следующему сообщению.

couzee

couzee

Опубликовано
  • Автор
Опубликовано
Только что, Sandor сказал:

Нет, значит сделайте остальное - образцы зашифрованных документов и записку с требованием выкупа в архиве прикрепите к следующему сообщению.

 

virus.zip

Sandor

Sandor

Опубликовано
Опубликовано

На ваш страх и риск. Мы не советуем, т.к. во-первых, тем самым вы стимулируете их на дальнейшую вредную деятельность. И во-вторых, могут обмануть и после перевода им денег ничего не прислать.

Почитайте эти темы.

safety

safety

Опубликовано
Опубликовано (изменено)

Вряд ли шифровальщик мог быть запущен на файловом сервере с Ubuntu. (По крайней мере по Mimic неизвестны такие случаи). Скорее всего запущен на другом устройстве (под Win), к которому были примонтированы папки файлового сервера.

Изменено пользователем safety
  • Like (+1) 1
couzee

couzee

Опубликовано
  • Автор
Опубликовано
1 час назад, safety сказал:

Вряд ли шифровальщик мог быть запущен на файловом сервере с Ubuntu. (По крайней мере по Mimic неизвестны такие случаи). Скорее всего запущен на другом устройстве (под Win), к которому были примонтированы папки файлового сервера.

Так и есть. Мы нашли с какого компьютера был запущен данный вирус. И даже экспортировали сам вирус в exe файле. Могу предоставить его в архиве для проверки.

safety

safety

Опубликовано
Опубликовано (изменено)
Quote

Мы нашли с какого компьютера был запущен данный вирус

Добавьте с этого ПК логи FRST (FRST.txt и Addition.txt)

 

Quote

Могу предоставить его в архиве для проверки.

заархивируйте всю папку, где находился шифровальщик с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачиванием в ЛС

Изменено пользователем safety
couzee

couzee

Опубликовано
  • Автор
Опубликовано
2 часа назад, safety сказал:

Добавьте с этого ПК логи FRST (FRST.txt и Addition.txt)

 

заархивируйте всю папку, где находился шифровальщик с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачиванием в ЛС

 

FRST.txt Addition.txt

safety

safety

Опубликовано
Опубликовано (изменено)

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы 

Start::
HKLM\...\Run: [NESCHELKAIEBALOM.exe] => C:\Users\Iru\AppData\Local\CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txt [2085 2024-03-29] () [Файл не подписан]
HKLM\SYSTEM\CurrentControlSet\Services\458DD190154FED94 <==== ВНИМАНИЕ (Rootkit!)
Unlock: C:\Users\Admin\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
2024-03-29 13:21 - 2021-12-05 03:29 - 000000000 __SHD C:\Users\Admin\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
2024-03-29 10:17 - 2022-08-27 18:01 - 000000000 __SHD C:\Users\Iru\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

Изменено пользователем safety
couzee

couzee

Опубликовано
  • Автор
Опубликовано (изменено)
23 minutes ago, safety said:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы 



Start::
HKLM\...\Run: [NESCHELKAIEBALOM.exe] => C:\Users\Iru\AppData\Local\CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txt [2085 2024-03-29] () [Файл не подписан]
HKLM\SYSTEM\CurrentControlSet\Services\458DD190154FED94 <==== ВНИМАНИЕ (Rootkit!)
2024-03-29 13:21 - 2021-12-05 03:29 - 000000000 __SHD C:\Users\Admin\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
2024-03-29 10:17 - 2022-08-27 18:01 - 000000000 __SHD C:\Users\Iru\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

Fixlog.txt

12 minutes ago, couzee said:

Fixlog.txt 1 kB · 0 загрузок

 

23 minutes ago, safety said:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы 



Start::
HKLM\...\Run: [NESCHELKAIEBALOM.exe] => C:\Users\Iru\AppData\Local\CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txt [2085 2024-03-29] () [Файл не подписан]
HKLM\SYSTEM\CurrentControlSet\Services\458DD190154FED94 <==== ВНИМАНИЕ (Rootkit!)
2024-03-29 13:21 - 2021-12-05 03:29 - 000000000 __SHD C:\Users\Admin\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
2024-03-29 10:17 - 2022-08-27 18:01 - 000000000 __SHD C:\Users\Iru\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

Написано ведь:

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

 

не надо постить в теме ссылки на карантины и архивы с вирусными телами - они будут доступны всем.

 

Quote

Увы, расшифровки этого типа вымогателя нет.

 

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Leo_Pahomov
      расшифровка файлов
      Автор Leo_Pahomov
      Все файлы зашифрованы типом файла YAKRDXSNS
      DESKTOP-5B9SCJG_2025-02-21_17-43-06_v4.99.9v x64.7z
      Сообщение от модератора thyrex Темы объединены
    • Barsetka
      Расшифровка файлов
      Автор Barsetka
      Добрый день.Зашифровало .NESCHELKAIEBALOM.
      Подскажите,что нужно что бы попытаться расшифровать файлы.
    • Woodgoblin
      Расшифровка файлов
      Автор Woodgoblin
      CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txtДень добрый.
      Сегодня все файлы на компе оказались зашифрованными.
      К файлом добавилась запись
      NESCELKAIEBALOM
      при попытке открытия выходит

       
      Можете помочь?
       
    • Владислав Эпштейн
      Помощь в расшифровке файлов
      Автор Владислав Эпштейн
      Доброго дня, обнаружен троян шифровальщик, расширения файлов - xxpfz2h
      Текст вымогателей найден отдельно, сам шифровальщик был удалён KVRT 
      Имеются только названия угроз: Trojan-Ransom.Win32.Mimic.av     -    HEUR:Backdoor.MSIL.Crysan.gen
      Просканировать систему не представляется возможным через программу которая приложена в правилах.
      Сканирование через KVRT осуществлял из под безопасного режима без сетевых драйверов и заражённый диск подключался через отдельный HDD хаб.
      Образцы зашифрованных файлов имеются, как и текстовый документ вымогателей
      Посоветуйте пожалуйста о дальнейших действиях
    • Red13107
      проблема с расшифровкой файлов
      Автор Red13107
      Здраствуйте, не получается расшифровать 23 файла с помощью shadedecryptor. пишет ошибка и не может подобрать ключ.
      Addition.txt FRST.txt README1.txt Новая папка.rar
×
×
  • Создать...