conti Шифровальщик .GAZPROM

[MWM]

Добрый день. Подхватили шифровальщик GAZPROM. Данные можно дешифровать? Примеры зашифрованных данных во вложении. Утилита RakhniDecryptor не помогла.

FRST.txt Addition.txt pos.zip.zip

[safety]

Это файл шифровальщика.

(explorer.exe ->) () [Файл не подписан] D:\exch\encryptor.exe

если есть доступ к рабочему столу, вы можете закрыть данный процесс, файл заархивировать с паролем virus, загрузить на облачный диск, и дать ссылку на скачивание в ЛС.

Это вариант Conti/MEOW, к сожалению, остался без возможности расшифровать файлы без приватного ключа.

Странно, что вновь активен, спустя более года со времени последней активности.

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

 

Start::
(explorer.exe ->) () [Файл не подписан] D:\exch\encryptor.exe
HKU\S-1-5-21-1983533456-3497560938-256045356-500\...\MountPoints2: {08a2144c-e193-11e8-836b-74d02b335746} - F:\AutoRun.exe
HKU\S-1-5-21-1983533456-3497560938-256045356-500\...\MountPoints2: {08a2145b-e193-11e8-836b-74d02b335746} - F:\AutoRun.exe
HKU\S-1-5-21-1983533456-3497560938-256045356-500\...\MountPoints2: {08a21d9d-e193-11e8-836b-74d02b335746} - F:\setup.exe
HKU\S-1-5-21-1983533456-3497560938-256045356-500\...\MountPoints2: {0b25841f-f920-11e8-8057-74d02b335746} - F:\setup.exe
HKU\S-1-5-21-1983533456-3497560938-256045356-500\...\MountPoints2: {0b258592-f920-11e8-8057-74d02b335746} - F:\setup.exe
HKU\S-1-5-21-1983533456-3497560938-256045356-500\...\MountPoints2: {681ba7bc-dc52-11e8-966e-74d02b335746} - F:\AutoRun.exe
HKU\S-1-5-21-1983533456-3497560938-256045356-500\...\MountPoints2: {681ba7f3-dc52-11e8-966e-001e101febf7} - F:\AutoRun.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicyUsers\S-1-5-21-820262349-2810060491-1592308459-1008\User: Ограничение <==== ВНИМАНИЕ
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС

 

+

проверьте ЛС

+

сэмпл на VT

Изменено 3 июня пользователем safety