Перейти к содержанию

Рекомендуемые сообщения

Добрый день. Подхватили шифровальщик GAZPROM. Данные можно дешифровать? Примеры зашифрованных данных во вложении. Утилита RakhniDecryptor не помогла.

FRST.txt Addition.txt pos.zip.zip

Ссылка на сообщение
Поделиться на другие сайты

Это файл шифровальщика.

(explorer.exe ->) () [Файл не подписан] D:\exch\encryptor.exe

если есть доступ к рабочему столу, вы можете закрыть данный процесс, файл заархивировать с паролем virus, загрузить на облачный диск, и дать ссылку на скачивание в ЛС.

Это вариант Conti/MEOW, к сожалению, остался без возможности расшифровать файлы без приватного ключа.

Странно, что вновь активен, спустя более года со времени последней активности.

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

 

Start::
(explorer.exe ->) () [Файл не подписан] D:\exch\encryptor.exe
HKU\S-1-5-21-1983533456-3497560938-256045356-500\...\MountPoints2: {08a2144c-e193-11e8-836b-74d02b335746} - F:\AutoRun.exe
HKU\S-1-5-21-1983533456-3497560938-256045356-500\...\MountPoints2: {08a2145b-e193-11e8-836b-74d02b335746} - F:\AutoRun.exe
HKU\S-1-5-21-1983533456-3497560938-256045356-500\...\MountPoints2: {08a21d9d-e193-11e8-836b-74d02b335746} - F:\setup.exe
HKU\S-1-5-21-1983533456-3497560938-256045356-500\...\MountPoints2: {0b25841f-f920-11e8-8057-74d02b335746} - F:\setup.exe
HKU\S-1-5-21-1983533456-3497560938-256045356-500\...\MountPoints2: {0b258592-f920-11e8-8057-74d02b335746} - F:\setup.exe
HKU\S-1-5-21-1983533456-3497560938-256045356-500\...\MountPoints2: {681ba7bc-dc52-11e8-966e-74d02b335746} - F:\AutoRun.exe
HKU\S-1-5-21-1983533456-3497560938-256045356-500\...\MountPoints2: {681ba7f3-dc52-11e8-966e-001e101febf7} - F:\AutoRun.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicyUsers\S-1-5-21-820262349-2810060491-1592308459-1008\User: Ограничение <==== ВНИМАНИЕ
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС

 

+

проверьте ЛС

+

сэмпл на VT

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Gorynych2000
      От Gorynych2000
      Здравствуйте.
       
      Утром 12.06.2024 обнаружили проблемы с файлами на рабочих станциях и серверах. Файлы (word, excel, pdf, jpg, архивы и т.д.) заимели расширение ".GAZPROM". Во всех каталогах появилось два файла "GAZPROM_DECRYPT.hta" и "GAZPROM_DECRYPT.html". Пошифровало все компьютеры в сети, которые были включены. На серверах работала система архивации Windows Server, но есть подозрение, что архивы также зашифрованы - среда восстановления показывает только одну точку, и точка эта создана примерно в тоже время, что и файлы с расширением GAZPROM. Можно ли как-то дешифровать? Во вложении лог проверки сервера FRST из среды восстановления сервера и архив с несколькими шифрованными файлами и записки о выкупе. Серверы были защищены KES, запуск одной из рабочих станций показал, что Defender отключен. При включении защитника он обнаруживает Ransom:Win32/ContiAD!MTB  
      files.7z
    • Роман Суслов
      От Роман Суслов
      Добрый день! В результате RDP атаки была зашифрована система. Все файлы стали с расширением KREMLIN.
      После перезагрузки система мертва, т.к. зашифрованы и системные файлы тоже. 
      Нашел некий cryptor.exe на рабочем столе.
      Во вложении: письмо требование, пример зашифрованного файла и его незашифрованная версия, cryptor.exe в архиве (пароль virus).
       
      Письмо требование:
      ID: 3TpvNLVFm8BEBn58soumz8cf2sz2dzWN 
       Need restore files? Contact us in telegram(desktop.telegram.org) - @KremlinRestore
       
       
      README.txt cryptor.zip зашифрованный файл.zip
      Исходный файл для сравнения, не влез в тему.
      исходник.zip
    • Nikolay Ch.
      От Nikolay Ch.
      Здравствуйте.
      В организации зашифровались все файлы
      Предлагают написать на почту ILANMINT@TUTANOTA.COM nilimival@proton.me.
      Есть ли возможность расшифровать?
      readme.txt backupsession.xml.zip
    • Алексей Ккк
      От Алексей Ккк
      Добрый день!
      недавно файлы на одном из серверов зашифровались и стали с расширением .gazprom

      никто не сталкивался? чем можно расшифровать или какой программой восстановить поврежденные файлы?
    • dronwise
      От dronwise
      Обнаружили, что к нам на серверы пролезли злоумышленники и руками запустили шифровальщик, он в виде программы cryptor.exe
      Возможно ли расшифровать наши файлы? Логи и образцы зашифрованных файлов прилагаю.
      Надеюсь на вашу помощь.
       
       
      Addition.txt FRST.txt Encrypted files.zip
×
×
  • Создать...