Перейти к содержанию

Шифровальщик .GAZPROM

MWM
 Share Подписчики 1

Рекомендуемые сообщения

MWM

MWM 0

Опубликовано
Опубликовано

Добрый день. Подхватили шифровальщик GAZPROM. Данные можно дешифровать? Примеры зашифрованных данных во вложении. Утилита RakhniDecryptor не помогла.

FRST.txt Addition.txt pos.zip.zip

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 107

Опубликовано
Опубликовано (изменено)

Это файл шифровальщика.

(explorer.exe ->) () [Файл не подписан] D:\exch\encryptor.exe

если есть доступ к рабочему столу, вы можете закрыть данный процесс, файл заархивировать с паролем virus, загрузить на облачный диск, и дать ссылку на скачивание в ЛС.

Это вариант Conti/MEOW, к сожалению, остался без возможности расшифровать файлы без приватного ключа.

Странно, что вновь активен, спустя более года со времени последней активности.

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

  

Start::
(explorer.exe ->) () [Файл не подписан] D:\exch\encryptor.exe
HKU\S-1-5-21-1983533456-3497560938-256045356-500\...\MountPoints2: {08a2144c-e193-11e8-836b-74d02b335746} - F:\AutoRun.exe
HKU\S-1-5-21-1983533456-3497560938-256045356-500\...\MountPoints2: {08a2145b-e193-11e8-836b-74d02b335746} - F:\AutoRun.exe
HKU\S-1-5-21-1983533456-3497560938-256045356-500\...\MountPoints2: {08a21d9d-e193-11e8-836b-74d02b335746} - F:\setup.exe
HKU\S-1-5-21-1983533456-3497560938-256045356-500\...\MountPoints2: {0b25841f-f920-11e8-8057-74d02b335746} - F:\setup.exe
HKU\S-1-5-21-1983533456-3497560938-256045356-500\...\MountPoints2: {0b258592-f920-11e8-8057-74d02b335746} - F:\setup.exe
HKU\S-1-5-21-1983533456-3497560938-256045356-500\...\MountPoints2: {681ba7bc-dc52-11e8-966e-74d02b335746} - F:\AutoRun.exe
HKU\S-1-5-21-1983533456-3497560938-256045356-500\...\MountPoints2: {681ba7f3-dc52-11e8-966e-001e101febf7} - F:\AutoRun.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicyUsers\S-1-5-21-820262349-2810060491-1592308459-1008\User: Ограничение <==== ВНИМАНИЕ
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС

 

+

проверьте ЛС

+

сэмпл на VT

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Gorynych2000
      Вирус-шифровальщик .GAZPROM
      От Gorynych2000
      Здравствуйте.
       
      Утром 12.06.2024 обнаружили проблемы с файлами на рабочих станциях и серверах. Файлы (word, excel, pdf, jpg, архивы и т.д.) заимели расширение ".GAZPROM". Во всех каталогах появилось два файла "GAZPROM_DECRYPT.hta" и "GAZPROM_DECRYPT.html". Пошифровало все компьютеры в сети, которые были включены. На серверах работала система архивации Windows Server, но есть подозрение, что архивы также зашифрованы - среда восстановления показывает только одну точку, и точка эта создана примерно в тоже время, что и файлы с расширением GAZPROM. Можно ли как-то дешифровать? Во вложении лог проверки сервера FRST из среды восстановления сервера и архив с несколькими шифрованными файлами и записки о выкупе. Серверы были защищены KES, запуск одной из рабочих станций показал, что Defender отключен. При включении защитника он обнаруживает Ransom:Win32/ContiAD!MTB  
      files.7z
    • Роман Суслов
      Прошу помощи в восстановлении данных после шифровальщика KREMLIN
      От Роман Суслов
      Добрый день! В результате RDP атаки была зашифрована система. Все файлы стали с расширением KREMLIN.
      После перезагрузки система мертва, т.к. зашифрованы и системные файлы тоже. 
      Нашел некий cryptor.exe на рабочем столе.
      Во вложении: письмо требование, пример зашифрованного файла и его незашифрованная версия, cryptor.exe в архиве (пароль virus).
       
      Письмо требование:
      ID: 3TpvNLVFm8BEBn58soumz8cf2sz2dzWN 
       Need restore files? Contact us in telegram(desktop.telegram.org) - @KremlinRestore
       
       
      README.txt cryptor.zip зашифрованный файл.zip
      Исходный файл для сравнения, не влез в тему.
      исходник.zip
    • Nikolay Ch.
      Зашифровали файлы после взлома
      От Nikolay Ch.
      Здравствуйте.
      В организации зашифровались все файлы
      Предлагают написать на почту ILANMINT@TUTANOTA.COM nilimival@proton.me.
      Есть ли возможность расшифровать?
      readme.txt backupsession.xml.zip
    • Алексей Ккк
      вирус шифровальщик .gazprom
      От Алексей Ккк
      Добрый день!
      недавно файлы на одном из серверов зашифровались и стали с расширением .gazprom

      никто не сталкивался? чем можно расшифровать или какой программой восстановить поврежденные файлы?
    • dronwise
      Шифровальщик gazprom
      От dronwise
      Обнаружили, что к нам на серверы пролезли злоумышленники и руками запустили шифровальщик, он в виде программы cryptor.exe
      Возможно ли расшифровать наши файлы? Логи и образцы зашифрованных файлов прилагаю.
      Надеюсь на вашу помощь.
       
       
      Addition.txt FRST.txt Encrypted files.zip
×
×
  • Создать...