medusalocker Зашифровали файлы с окончанием название_файла_расширение.lock5

[wswolf]

Добрый день. Прошу помощи вычислить шифровщик или помочь с расшифровкой на платной или бесплатной основе. Были зашифрованы файлы различных форматов на сервере почти все фалы были с окончанием название_файла_расширение.lock5. На рабочем столе был обнаружен файл с контактами и требованиями злоумышленников How_to_back_files.html.

 

Текст требования (также прикреплю скрин и пример зашифрованного фала в архиве)

 

 

 

инструкция по переадресации почты.docx.rar

[safety]

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

 

добавьте записку о выкупе в виде файла.

Изменено 3 мая пользователем safety

[wswolf]

4 часа назад, safety сказал:

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

 

добавьте записку о выкупе в виде файла.

Файлы во вложении

 

FRST.txt How_to_back_files.html Addition.txt

[safety]

Этот файл добавьте в архив с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС

C:\Users\администратор.FTH\Music\lock5\lock5.exe

[wswolf]

5 минут назад, safety сказал:

Этот файл добавьте в архив с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС

C:\Users\администратор.FTH\Music\lock5\lock5.exe

отправил, спасибо

[safety]

похоже, что MedusaLocker

A Variant Of Win64/Filecoder.MedusaLocker.A

https://www.virustotal.com/gui/file/07fb00cbae37c156c381339657d6efe08edc222db34d10c7315866e1ac4e64fd?nocache=1

 

детект на ID-Ransomware:

https://id-ransomware.malwarehunterteam.com/identify.php?case=0ee5d04de710d00fc083fd9c0771d5cf9832e237

 

Добавьте дополнительно образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

 

Изменено 3 мая пользователем safety

[wswolf]

да, это Медуза, вчера смогли найти на зарубежном сайте статью по нему, по указанной почте

Файл архива во вложении.

Спасибо

 

UIT-TERMINAL16_2024-05-03_12-49-57_v4.15.3v.7z

[safety]

32 minutes ago, wswolf said:

да, это Медуза, вчера смогли найти на зарубежном сайте статью по нему, по указанной почте

 и ключ автозапуска подходит:

HKEY_USERS\S-1-5-21-3186155435-563192258-938970277-500\Software\Microsoft\Windows\CurrentVersion\Run\BabyLockerKZ

 

Тела шифровальщика уже нет. Удаляем только ссылку в автозапуске.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки.

 

;uVS v4.15.3v [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\АДМИНИСТРАТОР.FTH\MUSIC\LOCK5\LOCK5.EXE
apply

QUIT

 

Изменено 3 мая пользователем safety

[wswolf]

готово, скрипт отработал.

Нужно прислать лог?

[safety]

да, можно добавить здесь файл лога:

дата_времяlog.txt из папки, откуда запускали uVS.

[wswolf]

Во вложении.

Подскажите, пожалуйста, получится как то с помощью этих данных расшифровать данные?

 

2024-05-03_14-10-24_log.txt

[safety]

1 hour ago, wswolf said:

Подскажите, пожалуйста, получится как то с помощью этих данных расшифровать данные?

увы, по расшифровке файлов после Medusalocker ничего не известно.

[wswolf]

Принял.

Большое спасибо за помощь