Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Расшифровка файлов

couzee
 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Новую тему создавать не нужно, продолжайте здесь.

Ссылка на комментарий
Поделиться на другие сайты
couzee

couzee

Опубликовано
  • Автор
Опубликовано

В инструкции указана ссылка на скачивание программы для Windows. На нашем файловом сервер стоит ОС Linux Ubuntu. Есть какие-то альтернативные программы для такой ОС?

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Нет, значит сделайте остальное - образцы зашифрованных документов и записку с требованием выкупа в архиве прикрепите к следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
couzee

couzee

Опубликовано
  • Автор
Опубликовано
Только что, Sandor сказал:

Нет, значит сделайте остальное - образцы зашифрованных документов и записку с требованием выкупа в архиве прикрепите к следующему сообщению.

 

virus.zip

Ссылка на комментарий
Поделиться на другие сайты
couzee

couzee

Опубликовано
  • Автор
Опубликовано
1 минуту назад, Sandor сказал:

Увы, расшифровки этого типа вымогателя нет.

Есть ли смысл списываться с ними и общаться о покупке их ПО?

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

На ваш страх и риск. Мы не советуем, т.к. во-первых, тем самым вы стимулируете их на дальнейшую вредную деятельность. И во-вторых, могут обмануть и после перевода им денег ничего не прислать.

Почитайте эти темы.

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

Вряд ли шифровальщик мог быть запущен на файловом сервере с Ubuntu. (По крайней мере по Mimic неизвестны такие случаи). Скорее всего запущен на другом устройстве (под Win), к которому были примонтированы папки файлового сервера.

Изменено пользователем safety
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
couzee

couzee

Опубликовано
  • Автор
Опубликовано
1 час назад, safety сказал:

Вряд ли шифровальщик мог быть запущен на файловом сервере с Ubuntu. (По крайней мере по Mimic неизвестны такие случаи). Скорее всего запущен на другом устройстве (под Win), к которому были примонтированы папки файлового сервера.

Так и есть. Мы нашли с какого компьютера был запущен данный вирус. И даже экспортировали сам вирус в exe файле. Могу предоставить его в архиве для проверки.

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)
Quote

Мы нашли с какого компьютера был запущен данный вирус

Добавьте с этого ПК логи FRST (FRST.txt и Addition.txt)

 

Quote

Могу предоставить его в архиве для проверки.

заархивируйте всю папку, где находился шифровальщик с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачиванием в ЛС

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
couzee

couzee

Опубликовано
  • Автор
Опубликовано
2 часа назад, safety сказал:

Добавьте с этого ПК логи FRST (FRST.txt и Addition.txt)

 

заархивируйте всю папку, где находился шифровальщик с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачиванием в ЛС

 

FRST.txt Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы 

Start::
HKLM\...\Run: [NESCHELKAIEBALOM.exe] => C:\Users\Iru\AppData\Local\CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txt [2085 2024-03-29] () [Файл не подписан]
HKLM\SYSTEM\CurrentControlSet\Services\458DD190154FED94 <==== ВНИМАНИЕ (Rootkit!)
Unlock: C:\Users\Admin\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
2024-03-29 13:21 - 2021-12-05 03:29 - 000000000 __SHD C:\Users\Admin\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
2024-03-29 10:17 - 2022-08-27 18:01 - 000000000 __SHD C:\Users\Iru\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
couzee

couzee

Опубликовано
  • Автор
Опубликовано (изменено)
23 minutes ago, safety said:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы 



Start::
HKLM\...\Run: [NESCHELKAIEBALOM.exe] => C:\Users\Iru\AppData\Local\CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txt [2085 2024-03-29] () [Файл не подписан]
HKLM\SYSTEM\CurrentControlSet\Services\458DD190154FED94 <==== ВНИМАНИЕ (Rootkit!)
2024-03-29 13:21 - 2021-12-05 03:29 - 000000000 __SHD C:\Users\Admin\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
2024-03-29 10:17 - 2022-08-27 18:01 - 000000000 __SHD C:\Users\Iru\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

Fixlog.txt

12 minutes ago, couzee said:

Fixlog.txt 1 kB · 0 загрузок

 

23 minutes ago, safety said:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы 



Start::
HKLM\...\Run: [NESCHELKAIEBALOM.exe] => C:\Users\Iru\AppData\Local\CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txt [2085 2024-03-29] () [Файл не подписан]
HKLM\SYSTEM\CurrentControlSet\Services\458DD190154FED94 <==== ВНИМАНИЕ (Rootkit!)
2024-03-29 13:21 - 2021-12-05 03:29 - 000000000 __SHD C:\Users\Admin\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
2024-03-29 10:17 - 2022-08-27 18:01 - 000000000 __SHD C:\Users\Iru\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

Написано ведь:

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

 

не надо постить в теме ссылки на карантины и архивы с вирусными телами - они будут доступны всем.

 

Quote

Увы, расшифровки этого типа вымогателя нет.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Владислав Эпштейн
      Помощь в расшифровке файлов
      Автор Владислав Эпштейн
      Доброго дня, обнаружен троян шифровальщик, расширения файлов - xxpfz2h
      Текст вымогателей найден отдельно, сам шифровальщик был удалён KVRT 
      Имеются только названия угроз: Trojan-Ransom.Win32.Mimic.av     -    HEUR:Backdoor.MSIL.Crysan.gen
      Просканировать систему не представляется возможным через программу которая приложена в правилах.
      Сканирование через KVRT осуществлял из под безопасного режима без сетевых драйверов и заражённый диск подключался через отдельный HDD хаб.
      Образцы зашифрованных файлов имеются, как и текстовый документ вымогателей
      Посоветуйте пожалуйста о дальнейших действиях
    • Kdademon
      Помогите в расшифровке файлов после вируса шифровальщика Trojan-Ransom.Win32.Mimic.gen
      Автор Kdademon
      02.072025 обнаружили что на 2 компа (Windows 7) попал вирус шифровальщик 
      подключились предположительно по RDP
      зашифровали все базы 1с, бэкапы, архивы, документы
      файл с обращением от вымогателей нашли
      Kaspersky Virus Removal Tool нашел вируc HEUR:Trojan-Ransom.Win32.Mimic.gen

      Подскажите порядок действий по лечению этих компов и возможна ли дешифровка?
      Как можно обезопасится от подобного?
      Поможет ли установка Kaspersky на все компьютеры сети?

      Во вложении архив с примерами зашифрованных файлов из папки php
      Файлы постарался выбрать стандартные, общеизвестные может поможет в дешифровке
      Также приложил скрин с проверкой от Kaspersky Virus Removal Tool

      php.rar
    • Warrr
      Помощь с расшифровкой Mimic
      Автор Warrr
      Прошу помощи с расшифровкой вируса Mimic. В поддержку уже обращался, сказали, не помогут. Есть много пар зашифрованных/оригинальных файлов. Может можно что-то придумать…
       
      спасибо 
    • Helsing13
      Прошу помощи с расшифровкой Trojan.Encoder.31074
      Автор Helsing13
      Добрый день! В результате атаки была зашифрована система. Все файлы стали с расширением lpdVIpAg7.
      После перезагрузки система работает но не все программы запускаются.
      Во вложении: письмо требование, пример зашифрованных файлов, отчеты о работе FRST, и несколько подозрительных исполняемых файлов.
       
      Пароль на оба архива: 1234
       
      virus.zip lpdVIpAg7.README.txt Addition.txt FRST.txt files.zip
    • Равиль.М
      Помощь в расшифровке файлов
      Автор Равиль.М
      Добрый день. Поймали вирус-шифровальщик, поразил весь файловый серв. Все началось после того как подключились через Anydesk. На двух пользовательских компьютерах замещены вирусы после проверки KES. Лог файл приложил
      FRST.rar KVRT2020_Data.rar Обнаружено KES.rar Файлы шифрованные.rar
×
×
  • Создать...