Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Добрый день. Прошу помощи вычислить шифровщик или помочь с расшифровкой на платной или бесплатной основе. Были зашифрованы файлы различных форматов на сервере почти все фалы были с окончанием название_файла_расширение.lock5. На рабочем столе был обнаружен файл с контактами и требованиями злоумышленников How_to_back_files.html.

 

Текст требования (также прикреплю скрин и пример зашифрованного фала в архиве)

 

 

 

Снимок экрана 2024-05-02 175444.png

инструкция по переадресации почты.docx.rar

Опубликовано (изменено)

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

 

добавьте записку о выкупе в виде файла.

Изменено пользователем safety
Опубликовано

Этот файл добавьте в архив с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС

C:\Users\администратор.FTH\Music\lock5\lock5.exe

Опубликовано
5 минут назад, safety сказал:

Этот файл добавьте в архив с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС

C:\Users\администратор.FTH\Music\lock5\lock5.exe

отправил, спасибо

Опубликовано (изменено)

похоже, что MedusaLocker

A Variant Of Win64/Filecoder.MedusaLocker.A

https://www.virustotal.com/gui/file/07fb00cbae37c156c381339657d6efe08edc222db34d10c7315866e1ac4e64fd?nocache=1

 

детект на ID-Ransomware:

https://id-ransomware.malwarehunterteam.com/identify.php?case=0ee5d04de710d00fc083fd9c0771d5cf9832e237

 

Добавьте дополнительно образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

 

Изменено пользователем safety
Опубликовано (изменено)
32 minutes ago, wswolf said:

да, это Медуза, вчера смогли найти на зарубежном сайте статью по нему, по указанной почте

 и ключ автозапуска подходит:

HKEY_USERS\S-1-5-21-3186155435-563192258-938970277-500\Software\Microsoft\Windows\CurrentVersion\Run\BabyLockerKZ

 

Тела шифровальщика уже нет. Удаляем только ссылку в автозапуске.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки.

 

;uVS v4.15.3v [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\АДМИНИСТРАТОР.FTH\MUSIC\LOCK5\LOCK5.EXE
apply

QUIT

 

Изменено пользователем safety
Опубликовано

готово, скрипт отработал.

Нужно прислать лог?

Опубликовано

да, можно добавить здесь файл лога:

дата_времяlog.txt из папки, откуда запускали uVS.

Опубликовано

Во вложении.

Подскажите, пожалуйста, получится как то с помощью этих данных расшифровать данные?

 

2024-05-03_14-10-24_log.txt

Опубликовано
1 hour ago, wswolf said:

Подскажите, пожалуйста, получится как то с помощью этих данных расшифровать данные?

увы, по расшифровке файлов после Medusalocker ничего не известно.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Paul99
      Автор Paul99
      HISTORY: We were hit with a ransom attack. My daily backups were deleted by the attackers. The backups were situated on a NAS (Synology RS814+) I have sent this appliance into a professional Data Recovery Company (WeRecoverData) in the hopes the files on it can be recovered. If this works I can restore my entire network shares and folders from an Arcserve UDP backup that is current to the date of the attack.  I also have an off-site copy of the restoration files on an external USB drive.  Unfortunately this was created using Arcserve's File Copy job, and my data being backed up was taking longer and longer to complete copy job. Data as a whole was growing incredibly large fast, and network files were making for 19+ days to create a copy job over the network. I used this copy to carry out of premises. That copy has a last successful copy job of backup files that is 6.5 months old.  My hope is that there is a known decryption tool for the medlock7 ransomware. I have access to my server and all encrypted files are still intact. My question, can I restore/repair these files without paying the attackers?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из раздела "Интервью с экспертами «Лаборатории Касперского»".
    • zoic
      Автор zoic
      Добрый день! 
      можно ли что-то сделать? 
       
      Добралась до моего рабочего компьютера какая-то "гадость".
      Зашифровала все файлы.
      Написал на указанные адреса, пришел ответ ниже на англ. Прибыльный у них бизнес...)
      Система запускается, но все рабочие файлы и программы "похерены" (((( 
       
      Hello,
      The price for the recovery of your files is (2500 $).
      the payment should be make in BTC

      2500 $ includes the following items:

      1) you will receive the decryption tool and its usage guide,
      2) we will delete all the data we have downloaded from your system,
      3) We will teach you how to secure your system from other ransomware attack,
      4) We will teach your system vulnerabilities tn order to fix them.
       
      your decryption key is ready.

      If the ransom is not paid, the information will be made public on internet.
       
      FRST64_логи.zip требования+файлы.zip
×
×
  • Создать...