Перейти к содержанию
Викторина по домашним продуктам "Лаборатории Касперского"

Расшифровка файлов

couzee
 Share Подписчики 2

Рекомендуемые сообщения

Sandor

Sandor 1 302

Опубликовано
Опубликовано

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Новую тему создавать не нужно, продолжайте здесь.

Ссылка на сообщение
Поделиться на другие сайты
couzee

couzee 0

Опубликовано
  • Автор
Опубликовано

В инструкции указана ссылка на скачивание программы для Windows. На нашем файловом сервер стоит ОС Linux Ubuntu. Есть какие-то альтернативные программы для такой ОС?

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 302

Опубликовано
Опубликовано

Нет, значит сделайте остальное - образцы зашифрованных документов и записку с требованием выкупа в архиве прикрепите к следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты
couzee

couzee 0

Опубликовано
  • Автор
Опубликовано
Только что, Sandor сказал:

Нет, значит сделайте остальное - образцы зашифрованных документов и записку с требованием выкупа в архиве прикрепите к следующему сообщению.

 

virus.zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 302

Опубликовано
Опубликовано

На ваш страх и риск. Мы не советуем, т.к. во-первых, тем самым вы стимулируете их на дальнейшую вредную деятельность. И во-вторых, могут обмануть и после перевода им денег ничего не прислать.

Почитайте эти темы.

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 130

Опубликовано
Опубликовано (изменено)

Вряд ли шифровальщик мог быть запущен на файловом сервере с Ubuntu. (По крайней мере по Mimic неизвестны такие случаи). Скорее всего запущен на другом устройстве (под Win), к которому были примонтированы папки файлового сервера.

Изменено пользователем safety
  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
couzee

couzee 0

Опубликовано
  • Автор
Опубликовано
1 час назад, safety сказал:

Вряд ли шифровальщик мог быть запущен на файловом сервере с Ubuntu. (По крайней мере по Mimic неизвестны такие случаи). Скорее всего запущен на другом устройстве (под Win), к которому были примонтированы папки файлового сервера.

Так и есть. Мы нашли с какого компьютера был запущен данный вирус. И даже экспортировали сам вирус в exe файле. Могу предоставить его в архиве для проверки.

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 130

Опубликовано
Опубликовано (изменено)
Quote

Мы нашли с какого компьютера был запущен данный вирус

Добавьте с этого ПК логи FRST (FRST.txt и Addition.txt)

 

Quote

Могу предоставить его в архиве для проверки.

заархивируйте всю папку, где находился шифровальщик с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачиванием в ЛС

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
couzee

couzee 0

Опубликовано
  • Автор
Опубликовано
2 часа назад, safety сказал:

Добавьте с этого ПК логи FRST (FRST.txt и Addition.txt)

 

заархивируйте всю папку, где находился шифровальщик с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачиванием в ЛС

 

FRST.txt Addition.txt

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 130

Опубликовано
Опубликовано (изменено)

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы 

Start::
HKLM\...\Run: [NESCHELKAIEBALOM.exe] => C:\Users\Iru\AppData\Local\CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txt [2085 2024-03-29] () [Файл не подписан]
HKLM\SYSTEM\CurrentControlSet\Services\458DD190154FED94 <==== ВНИМАНИЕ (Rootkit!)
Unlock: C:\Users\Admin\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
2024-03-29 13:21 - 2021-12-05 03:29 - 000000000 __SHD C:\Users\Admin\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
2024-03-29 10:17 - 2022-08-27 18:01 - 000000000 __SHD C:\Users\Iru\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
couzee

couzee 0

Опубликовано
  • Автор
Опубликовано (изменено)
23 minutes ago, safety said:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы 



Start::
HKLM\...\Run: [NESCHELKAIEBALOM.exe] => C:\Users\Iru\AppData\Local\CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txt [2085 2024-03-29] () [Файл не подписан]
HKLM\SYSTEM\CurrentControlSet\Services\458DD190154FED94 <==== ВНИМАНИЕ (Rootkit!)
2024-03-29 13:21 - 2021-12-05 03:29 - 000000000 __SHD C:\Users\Admin\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
2024-03-29 10:17 - 2022-08-27 18:01 - 000000000 __SHD C:\Users\Iru\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

Fixlog.txt

12 minutes ago, couzee said:

Fixlog.txt 1 kB · 0 загрузок

 

23 minutes ago, safety said:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы 



Start::
HKLM\...\Run: [NESCHELKAIEBALOM.exe] => C:\Users\Iru\AppData\Local\CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txt [2085 2024-03-29] () [Файл не подписан]
HKLM\SYSTEM\CurrentControlSet\Services\458DD190154FED94 <==== ВНИМАНИЕ (Rootkit!)
2024-03-29 13:21 - 2021-12-05 03:29 - 000000000 __SHD C:\Users\Admin\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
2024-03-29 10:17 - 2022-08-27 18:01 - 000000000 __SHD C:\Users\Iru\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 130

Опубликовано
Опубликовано (изменено)

Написано ведь:

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

 

не надо постить в теме ссылки на карантины и архивы с вирусными телами - они будут доступны всем.

 

Quote

Увы, расшифровки этого типа вымогателя нет.

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Anix
      log работы ELPACO-team
      От Anix
      Отключил винт и подцепил его к виртуалке,
      нашёл лог работы заразы.
      Может поможет в создании лекарства
      temp.rar
    • whoamis
      Зашифровало сервер сегодня
      От whoamis
      Добрый день зашифровало сервер, предположительно кто-то скачал картинку на сервере и открыл.
      Addition.txt FRST.txt 11.rar
    • Дмитрий С1990
      Зашифровали данные
      От Дмитрий С1990
      Был зашифрован ПК по средствам подключения по rdp  к учетной записи администратора и подобранному паролю.
      Addition.txt virus.7z FRST.txt
    • 4ikotillo
      Зашифрованы файлы на сетевом диске, расширение 4utjb34h
      От 4ikotillo
      Добрый день, обнаружил на своем сетевом хранилище зашифрованные файлы. Файлы были зашиврованы не во всех директориях, а только в тех у которых были права на вход пользователя guest. Я не нашел источник заразы, проверил все компьютеры дома, все чисто. Само шифрование длилось порядка 4 часов и не все файлы были зашиврованны. Видимо зараженное устройство только какое-то время было в моей сети. Прилагаю примеры зашиврованных файлов, мне известно только то что они все имею расширение 4utjb34h. Спасибо за любую помощь.
      4utjb34h.zip FRST.txt
    • Serg1619
      Поймал шифровальщик со странным расширением abdula.a@aol.com
      От Serg1619
      С утра на сервере все значки стали тектостовыми файлами с расширением abdula.a@aol.com,при открытии фаилой везде открывается блокном с требованием написать им на почту для того чтоб разблокировать.
      Как то можно расшифровать все файлы?или все уже безнадежно?
×
×
  • Создать...