Перейти к содержанию

Поймал шифровальщик. Прошу помощи с расшифровкой.


Рекомендуемые сообщения

Доброе время суток.
Вчера поймал шифровальщик.
На каждом разделе, даже на рекавери появился файл Datadecrypt.txt со следующим содержимым:
Datadecrypt Ransomware!!!
ATTENTION!
YOUR PERSONAL DECRYPTION ID - 9CBpGok6gAfWHD9YR6l0SxlZDalH4X9Kp4NS4Is6EHE*Telegram@datadecrypt
At the moment, your system is not protected.
We can fix it and restore your files.
To get started, send 1-2 small files to decrypt them as proof
You can trust us after opening them
2.Do not use free programs to unlock.
OUR CONTACTS:
Telegram - @datadecrypt
https://t.me/datadecrypt

 

Все зашифровано добрался и до резервной копии.
На компьютере стоял Kaspersky Small Office Suite (лицензия), а сегодня он выгужен и все ярлыки на рабочем столе с весьма не веселым расширением (пример: Chromium-Gost.lnk.Telegram@datadecrypt)

Файлы нужны так что хотелось бы инструкцию кто - что знает как можно попытаться расшифровать это все.

 

Заранее благодарен.

Ссылка на сообщение
Поделиться на другие сайты

Файлы логов и зашифрованные файлы.

Сам вирус еще поищу - но где он это вопрос. 
Сам комп сейчас отключен от сети и выключен. 
Прогнав с помощью касперский лайв ОС, но не удаляя и не лечя нашел несколько файлов с "HEUR:trojan-ransome.win32.mimic.gen"

Datadecrypt_файл_требования_злоумышлиников.zip log_FRST64.zip ЗашифрованныеДокументы.zip

Ссылка на сообщение
Поделиться на другие сайты

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

Start::
HKLM\...\Policies\system: [legalnoticecaption]  
HKLM\...\Policies\system: [legalnoticetext] Datadecrypt Ransomware!!!
HKU\S-1-5-21-2444218661-2665009694-1512636626-1001\...\RunOnce: [Delete Cached Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\user\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-2444218661-2665009694-1512636626-1001\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\user\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" [67803552 2024-05-14] (Microsoft Corporation -> Microsoft Corporation)
HKU\S-1-5-21-2444218661-2665009694-1512636626-1001\...\RunOnce: [Uninstall 24.015.0121.0003] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\user\AppData\Local\Microsoft\OneDrive\24.015.0121.0003" [0 2024-05-14] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-2444218661-2665009694-1512636626-1006\...\RunOnce: [Delete Cached Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\Пользователь2\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-2444218661-2665009694-1512636626-1006\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\Пользователь2\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-2444218661-2665009694-1512636626-1006\...\RunOnce: [Uninstall 21.220.1024.0005\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Пользователь2\AppData\Local\Microsoft\OneDrive\21.220.1024.0005\amd64" [0 2024-04-26] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-2444218661-2665009694-1512636626-1006\...\RunOnce: [Uninstall 21.220.1024.0005] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Пользователь2\AppData\Local\Microsoft\OneDrive\21.220.1024.0005" [0 2024-04-26] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-2444218661-2665009694-1512636626-1007\...\RunOnce: [Delete Cached Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\1sdevrdp\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" [42164600 2024-05-05] (Microsoft Corporation -> Microsoft Corporation)
HKU\S-1-5-21-2444218661-2665009694-1512636626-1007\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\1sdevrdp\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла)
2024-05-15 07:02 - 2024-05-15 07:02 - 000000423 _____ C:\Users\user\Desktop\Datadecrypt.txt
2024-05-15 05:30 - 2024-05-15 06:59 - 000001012 _____ C:\Users\user\advanced_ip_scanner_MAC.bin.Telegram@datadecrypt
2024-05-15 05:30 - 2024-05-15 06:59 - 000000097 _____ C:\Users\user\advanced_ip_scanner_Comments.bin.Telegram@datadecrypt
2024-05-15 05:30 - 2024-05-15 06:59 - 000000097 _____ C:\Users\user\advanced_ip_scanner_Aliases.bin.Telegram@datadecrypt
2024-05-15 05:18 - 2024-05-15 06:59 - 000000000 ____D C:\Program Files (x86)\Advanced IP Scanner
2024-05-15 05:18 - 2024-05-15 05:18 - 000001050 _____ C:\Users\Public\Desktop\Advanced IP Scanner.lnk
2024-05-15 05:18 - 2024-05-15 05:18 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced IP Scanner v2
2024-05-15 05:16 - 2024-05-15 06:59 - 000000423 _____ C:\Users\user\AppData\Local\Datadecrypt.txt
2024-05-15 05:15 - 2024-05-15 07:02 - 000000423 _____ C:\Datadecrypt.txt
2024-05-15 09:18 - 2021-01-08 08:37 - 000000000 __SHD C:\Users\user\AppData\Local\BC57CE41-27D7-C825-6CB7-A6508B063C81
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

Ссылка на сообщение
Поделиться на другие сайты

Запустил FRST, скопировал в буфер обмена. 
Закрыл браузер. 
Нажал Исправить. 
Он по началу начал что то делать потом просто подвис. 
через, решил подождать. Через два часа картина такая же висит. 
Решил перезагрузить, вин 10 х64 больше не стартует.

Отцепил жесткий попробовал подключить его к другому компу под linux что бы выдернуть лог выполнения FRST и папку Quarantine 
их нет ровно как и всех пользователей больше нету в каталоге C:\Users\ только Default, Default User, Public, All Users и все. 
Так же папки Quarantine нету на диске C:\FRST\ часть зашифрованных данных я сдернул на другой жесткий до того как начал делать все эти телодвижения. 
Так что сейчас у меня на руках - полностью мертвый комп и куча зашифрованных файлов. Datadecrypt.txt в каждом каталоге с зашифрованными файлами свой, так как каждый раз id который там указан свой. 
Думал один на все. 
Шанс есть вытащить данные и чем он шифрует если не секрет? 
Или все печально и данные не восстановимы? 
Да, кстати теневая копия завалена - она вроде есть но её как бы нет. в итоге она завалена. 

Изменено пользователем ArtemovskyD
Ссылка на сообщение
Поделиться на другие сайты

Да, печально, что зависание произошло на момент очистки системы.

 

Пробуйте загрузить систему в безопасном режиме, в Safe mode.

 

Расшифровка по данному типу шифровальщика невозможна без приватного ключа, которого у нас нет.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • СергейБ.
      От СергейБ.
      Здравствуйте.
      Компьютер ночью был включен.
      Утром обнаружилось предупреждение о заражение и шифровании файлов. 
      В конце каждого файла добавилось 7dyedhqu59c
      Можете ли чем-нибудь помочь?
      Спасибо.
      FRST.txt Addition.txt files.zip
    • Автошкола
      От Автошкола
      Учреждение пострадало от атаки HONEYHORSELIKESMONEY
      Что делать, посоветуйте.
      Пострадали сервера WIN 2016 на которых установлен RSC и WIN 10 с установленным KESW.
      Все активировано, защита включена!
    • СергейБ.
      От СергейБ.
      Здравствуйте.
      Подвергся атаке вируса-шифровальщика honeycorselikesmoney.
      Вирус запустился, как я понял, после 00:00 после дня заражения. Видимо, по расписанию.
      Подскажите пожалуйста есть ли смысл пытаться чистить систему или только переустановка?
      Спасибо.
    • Andrey14
      От Andrey14
      Добрый день. Вышло сообщение, текст ниже. Первый раз столкнулся с такой ситуацией, можно его как то расшифровать? Важные данные лежат, 4 виртуалки (1С, SQL). Может кто сталкивался, или бесполезно и все пропало? Не хочется платить вымогателям (да и ценник думаю будет не маленький).
      ALL YOUR FILES HAVE BEEN ENCRYPTED DUE TO A SECURITY PROBLEM WITH YOUR PC.
      If you want to restore them :
      1) Send your unique id BDpfbw9XEVobf5oSbM6nFUhCuG-weNhoiV9cUfeLAzI*PISCOSTRUI and max 3 files for test decryption
      OUR CONTACTS:
      1.1) TOX messenger (fast and anonymous)
      https://tox.chat/download.html
      Install qtox
      Press sign up
      Create your own name
      Press plus
      Put there our tox ID:
      E9164A982410EFAEBC451C1D5629A2CBB75DBB6BCDBD6D2BA94F4D0A7B0B616F911496E469FB
      And add me/write message
      1.2) ICQ Messenger
      ICQ live chat which works 24/7 - @PISCOSTRUI
      Install ICQ software on your PC here https://icq.com/windows/ or on your smartphone search for "ICQ" in Appstore / Google market
      Write to our ICQ @PISCOSTRUI https://icq.im/PISCOSTRUI
      1.3) Skype 
      PISCOSTRUI DECRYPTION
      1.4) Mail (write only in critical situations bcs your email may not be delivered or get in spam)
      * piscostrui@onionmail.org
      In subject line please write your decryption ID: BDpfbw9XEVobf5oSbM6nFUhCuG-weNhoiV9cUfeLAzI*PISCOSTRUI
      You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
      After payment we will send you the decryption tool that will decrypt all your files.
      FREE DECRYPTION AS A GUARANTEE!
      Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived),
      and files should not contain valuable information. (databases, backups, large excel sheets, etc.)
      How to obtain Bitcoins:
      https://www.alfa.cash/buy-crypto-with-credit-card (the fastest way)
      buy.coingate.com
      https://bitcoin.org/en/buy
      https://buy.moonpay.io
      binance.com
      coinmama.com
    • Gaspar77
      От Gaspar77
      Добрый день.
      Поймал шифровальщика. Зашифрованы файлы на всех машинах что были в сети.
      Касперский Endpoint Security не помог. И сейчас файла вируса не находит.
      Помогите пожалуйста с расшифровкой.
      frst.rar Crypted.rar text.rar
×
×
  • Создать...