Перейти к содержанию

Рекомендуемые сообщения

Добрый день!

Сегодня шифровальщик зашифровал большую часть нужных файлов, благо выключили компьютер из розетки...

В результате остались файлы в папке запуска подозрительного файла   svhostss.exe, а именно в папке c:\users\пользователь\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\svhostss.exe

следующие файлы:

Everything.db

Everything32.dll

Everything64.dll

session.tmp

svhostss.exe

 

быть может есть возможность дешифровать данные? 

Ссылка на комментарий
Поделиться на другие сайты

17 minutes ago, Сергей_00 said:

а именно в папке c:\users\пользователь\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\svhostss.exe

+

заархивируйте данную папку с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

--------

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

архив с папкой вируса

 

Изменено пользователем Sandor
Отправить нужно было личным сообщением, ссылку убрал
Ссылка на комментарий
Поделиться на другие сайты

3 hours ago, Сергей_00 said:

архив с папкой вируса

https://www.virustotal.com/gui/file-analysis/Yjk1MWU1MDI2NGY5YzUyNDQ1OTJkZmIwYTg1OWVjNDE6MTcxODI4OTUwMw==

 

если необходима помощь в очистке системы, соберите файлы и логи по правилам:

выполните указания в теме «Порядок оформления запроса о помощи».

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

https://cloud.mail.ru/public/oVho/SUxTMGNr5     Addition.txt

https://cloud.mail.ru/public/RHfr/hmYS2oVvR    FRST.txt

https://cloud.mail.ru/public/xNxA/ePCHZPUK2     Shortcut.txt

https://cloud.mail.ru/public/kZnA/vYSUhwiew      зашифрованные файлы

 

в зашифрованных файлах и содержится письмо вымогателей.

такое впечатление что они подменяют первые сектора файлов на свое сообщение, а нормальные сектора хранятся в everything.db

 

Ссылка на комментарий
Поделиться на другие сайты

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

 

Start::
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
CHR HKLM\...\Chrome\Extension: [pbefkdcndngodfeigfdgiodgnmbgcfha]
CHR HKLM-x32\...\Chrome\Extension: [pbcgcpeifkdjijdjambaakmhhpkfgoec]
CHR HKLM-x32\...\Chrome\Extension: [pbefkdcndngodfeigfdgiodgnmbgcfha]
CHR HKLM-x32\...\Chrome\Extension: [pomekhchngaooffdadfjnghfkaeipoba]
2024-06-11 13:39 - 2024-06-11 13:39 - 000000000 ____D C:\Users\adm\AppData\Roaming\Process Hacker 2
2024-06-10 12:32 - 2024-06-10 12:33 - 000000945 _____ C:\Users\терминал10\AppData\Local\Decryption_INFO.txt
2024-06-10 11:23 - 2024-06-10 11:23 - 000000000 ____D C:\Users\systema$\AppData\Roaming\Process Hacker 2
2024-06-10 11:19 - 2024-06-10 12:33 - 000000945 _____ C:\Decryption_INFO.txt
2024-06-10 11:19 - 2024-06-10 11:19 - 000000945 _____ C:\Users\systema$\AppData\Local\Decryption_INFO.txt
2024-06-10 11:16 - 2024-06-10 11:16 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-06-10 11:16 - 2024-06-10 11:16 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Unlocker
2024-06-10 11:16 - 2024-06-10 11:16 - 000000000 ____D C:\ProgramData\IObit
2024-06-10 11:16 - 2024-06-10 11:16 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-06-10 11:16 - 2024-06-10 11:16 - 000000000 ____D C:\Program Files (x86)\IObit
Unlock: C:\Users\systema$\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
Unlock: C:\Users\терминал10\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
2024-06-10 14:39 - 2022-03-18 12:59 - 000000000 __SHD C:\Users\systema$\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
2024-06-10 12:33 - 2022-03-10 06:02 - 000000000 __SHD C:\Users\терминал10\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Ссылка на комментарий
Поделиться на другие сайты

Системе требуется перезагрузка.

==== Конец от Fixlog 22:12:21 ====

это сделал...  а что то полезное можно вытащить из файлов содержащихся в папке с трояном? 

я имею в виду расшифровку... мне то ладно, может кому другому понадобиться:)

------------

Fixlog не надо печатать в сообщении в виде простыни, просто добавляем как вложенный файл. Это касается всех запрашиваемых логов.

 

Изменено пользователем safety
Fixlog не надо печатать в сообщении
Ссылка на комментарий
Поделиться на другие сайты

К сожалению, расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа.

 

По Mimic Ransomware, который активен в течение более 1,5 лет, к сожалению, нет в настоящее время расшифровки файлов без приватного ключа. Злоумышленники, стоящие за Mimic используют утекший в сеть билдер Conti чтобы извлечь выгоду из его различных функций и даже улучшить код для более эффективных атак.

статистика обращений на форуме:

2022 год - mimic: 20

2023 год - mimic: 61

2024 год - mimic: 57

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

хорошо,

а содержимое session.tmp не похоже на приватный ключ ?

›Џaь„Ч«vцкvЃюVо)FYy^«C‡GЈkr

 

и что же за данные в Everything.db - очень похожи на таблицу разделов диска... тем более что при открытии в блокноте любого зашифрованного файла выходит письмо вымогателей.

в любом случае, спасибо за уделенное время... 

 

 

Ссылка на комментарий
Поделиться на другие сайты

1 hour ago, Сергей_00 said:

хорошо,

а содержимое session.tmp не похоже на приватный ключ ?

›Џaь„Ч«vцкvЃюVо)FYy^«C‡GЈkr

 

и что же за данные в Everything.db - очень похожи на таблицу разделов диска... тем более что при открытии в блокноте любого зашифрованного файла выходит письмо вымогателей.

 

в любом случае, спасибо за уделенное время... 

 

 

Все зависит от схемы шифрования. Это может быть сессионный симметричный ключ которым шифруется отдельный файл, пишется он в session.tmp по причине того, чтобы в случае прерывания процесса шифрования, при возобновлении процесса, шифрование было продолжено данным ключом. (т.е. эотт ключ может быть полезен при расшифровке единственного файла)

 

Everything.db - вспомогательный файл, который возможно хранит результаты запросов файлов с использованием утилиты Everything.exe для ускорения поиска необходимых для шифрования файлов. (Никакой информации о ключах он не содержит.)

 

Возможно, что запуск Notepad.exe (с запиской о выкупе) прописан в ассоциации к зашифрованному файлу в реестре.

 

Увы, пока что Mimic является одним из самых продуктивных шифровальщиков, без решения с расшифровкой. Кроме, выкупа за приватный ключ. Или восстановления данных из бэкапов.

статистика обращений на форуме:

2022 год - mimic: 20

2023 год - mimic: 61

2024 год - mimic: 57

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Александр94
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • IrinaC
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • ad_art
      От ad_art
      Здравствуйте, требуется помощь в расшифровке файлов.
      Прилагаю образец вируса в запароленном архиве, ключи реестра содержащие данные для шифрации.
      First.txt Addition.txt Зашифрованные файлы.7z Оригинальные файлы.7z virus_sample.7z Требования вируса.7z reg_keys.7z
    • yarosvent
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
    • WL787878
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
×
×
  • Создать...