Перейти к содержанию

Расшифровка файлов

couzee
 Share Подписчики 2

Рекомендуемые сообщения

Sandor

Sandor 1 283

Опубликовано
Опубликовано

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Новую тему создавать не нужно, продолжайте здесь.

Ссылка на сообщение
Поделиться на другие сайты
couzee

couzee 0

Опубликовано
  • Автор
Опубликовано

В инструкции указана ссылка на скачивание программы для Windows. На нашем файловом сервер стоит ОС Linux Ubuntu. Есть какие-то альтернативные программы для такой ОС?

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 283

Опубликовано
Опубликовано

Нет, значит сделайте остальное - образцы зашифрованных документов и записку с требованием выкупа в архиве прикрепите к следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты
couzee

couzee 0

Опубликовано
  • Автор
Опубликовано
Только что, Sandor сказал:

Нет, значит сделайте остальное - образцы зашифрованных документов и записку с требованием выкупа в архиве прикрепите к следующему сообщению.

 

virus.zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 283

Опубликовано
Опубликовано

На ваш страх и риск. Мы не советуем, т.к. во-первых, тем самым вы стимулируете их на дальнейшую вредную деятельность. И во-вторых, могут обмануть и после перевода им денег ничего не прислать.

Почитайте эти темы.

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 107

Опубликовано
Опубликовано (изменено)

Вряд ли шифровальщик мог быть запущен на файловом сервере с Ubuntu. (По крайней мере по Mimic неизвестны такие случаи). Скорее всего запущен на другом устройстве (под Win), к которому были примонтированы папки файлового сервера.

Изменено пользователем safety
  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
couzee

couzee 0

Опубликовано
  • Автор
Опубликовано
1 час назад, safety сказал:

Вряд ли шифровальщик мог быть запущен на файловом сервере с Ubuntu. (По крайней мере по Mimic неизвестны такие случаи). Скорее всего запущен на другом устройстве (под Win), к которому были примонтированы папки файлового сервера.

Так и есть. Мы нашли с какого компьютера был запущен данный вирус. И даже экспортировали сам вирус в exe файле. Могу предоставить его в архиве для проверки.

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 107

Опубликовано
Опубликовано (изменено)
Quote

Мы нашли с какого компьютера был запущен данный вирус

Добавьте с этого ПК логи FRST (FRST.txt и Addition.txt)

 

Quote

Могу предоставить его в архиве для проверки.

заархивируйте всю папку, где находился шифровальщик с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачиванием в ЛС

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
couzee

couzee 0

Опубликовано
  • Автор
Опубликовано
2 часа назад, safety сказал:

Добавьте с этого ПК логи FRST (FRST.txt и Addition.txt)

 

заархивируйте всю папку, где находился шифровальщик с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачиванием в ЛС

 

FRST.txt Addition.txt

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 107

Опубликовано
Опубликовано (изменено)

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы 

Start::
HKLM\...\Run: [NESCHELKAIEBALOM.exe] => C:\Users\Iru\AppData\Local\CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txt [2085 2024-03-29] () [Файл не подписан]
HKLM\SYSTEM\CurrentControlSet\Services\458DD190154FED94 <==== ВНИМАНИЕ (Rootkit!)
Unlock: C:\Users\Admin\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
2024-03-29 13:21 - 2021-12-05 03:29 - 000000000 __SHD C:\Users\Admin\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
2024-03-29 10:17 - 2022-08-27 18:01 - 000000000 __SHD C:\Users\Iru\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
couzee

couzee 0

Опубликовано
  • Автор
Опубликовано (изменено)
23 minutes ago, safety said:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы 



Start::
HKLM\...\Run: [NESCHELKAIEBALOM.exe] => C:\Users\Iru\AppData\Local\CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txt [2085 2024-03-29] () [Файл не подписан]
HKLM\SYSTEM\CurrentControlSet\Services\458DD190154FED94 <==== ВНИМАНИЕ (Rootkit!)
2024-03-29 13:21 - 2021-12-05 03:29 - 000000000 __SHD C:\Users\Admin\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
2024-03-29 10:17 - 2022-08-27 18:01 - 000000000 __SHD C:\Users\Iru\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

Fixlog.txt

12 minutes ago, couzee said:

Fixlog.txt 1 kB · 0 загрузок

 

23 minutes ago, safety said:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы 



Start::
HKLM\...\Run: [NESCHELKAIEBALOM.exe] => C:\Users\Iru\AppData\Local\CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txt [2085 2024-03-29] () [Файл не подписан]
HKLM\SYSTEM\CurrentControlSet\Services\458DD190154FED94 <==== ВНИМАНИЕ (Rootkit!)
2024-03-29 13:21 - 2021-12-05 03:29 - 000000000 __SHD C:\Users\Admin\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
2024-03-29 10:17 - 2022-08-27 18:01 - 000000000 __SHD C:\Users\Iru\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 107

Опубликовано
Опубликовано (изменено)

Написано ведь:

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

 

не надо постить в теме ссылки на карантины и архивы с вирусными телами - они будут доступны всем.

 

Quote

Увы, расшифровки этого типа вымогателя нет.

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • nikitapatek
      Шифровальщик elpaco-team
      От nikitapatek
      Здравствуйте. 
       
      Поймали вирус - шифровальщик, elpaco team.  Все файлы зашифрованы, на расшифровку как понимаю надежды нет, но хотя бы прошу помочь пожалуйста с очисткой компьютера для возможности дальнейшей работы на нем без переустановки системы и не получить повторное заржение. 
       
      В процессе изучения обнаружилось, что был создан пользователь в системе новый с именем noname и из под него запущен шифровальщик. Видимо через какую-то уязвимость создали пользователя.  Хотя RDP так же с выходом в сеть имелся на данной машине.  Но под основного пользователя вроде бы как не заходили по RDP.
       
      В папке system32 нашел bat файл с именем u1.bat с помощью которого создали как раз таки видимо этого пользователя noname. В нем виден пароль с которым они создали этого пользователя, хоть и не уверен что от этого есть толк. 
      А так же в system32 были найдены непонятные файлы еще, предположительно тоже появившиеся в момент заражения и шифровки.  Ну и в каалоге temp пользователя тоже были некие странные файлы так же видимо в результате заражения.  Расширения .dat, .tmp и .ini. Собрал эти файлы соответственно в архив файлы из system 32 и temp пользователя noname.zip
       
      Сам шифровальщик ELPACO-team.exe с рабочего стола пользователя noname, письмо с требованием, и bat файл close.bat. Который видимо запускают перед шированием что бы убить задачи все антивирусов, программ резервного копирования и т.д. 
      Их приложил в архив шифровальщик.zip , пароль virus.
       
      Ну и несколько образцов зараженных файлов соответствующий архив.
       
       
      Логи по инструкции так же приложил.
       
       
       
      шифроальщик.zip файлы из system 32 и temp пользователя noname.rar Образцы зашифрованных файлов.zip FRST.txt Addition.txt
    • barss2001
      Вирус-шифровальщик зашифровал файлы Файл "7DYEDHQU59C"
      От barss2001
      Сервер после перезагрузки и входе в учетную запись показал сообщение о выкупе программы дешифратора на рабочем столе и дисках появились  зашифрованые файлы 
      virus.rar FRST64.rar
    • Sgen
      Шифровальщик *.ask-*
      От Sgen
      Доброго времени суток. Прошу помощи. Прошелся шифровальщик. Файлы стали с расширением "*.ask-OfatBlotdck3HCPrQmQJ3GWZcuoDs4tYVpcxn4cBjFE"
      Хак.rar
    • gentry
      шифровальщик-вымогатель elpaco-team
      От gentry
      Добрый день. Прошу помощи в дешифровке.
      Логи FRST, файл с требованиями и зашифрованные файлы во вложении.
      elpaco.rar
    • андрей77
      Вирус шифровальщик-вымогатель с расширением *.ELPACO-team
      От андрей77
      добрый день.
      возможно через RDP (подбор паролей) попал вирус шифровальщик и почти все файлы с расширением elpaco-team.
      в архиве несколько зараженных файлов и само письмо о выкупе.
      можете помочь расшифровать файлы?
      02.rar
×
×
  • Создать...