Перейти к содержанию

Рекомендуемые сообщения

Добрый день!

Сегодня шифровальщик зашифровал большую часть нужных файлов, благо выключили компьютер из розетки...

В результате остались файлы в папке запуска подозрительного файла   svhostss.exe, а именно в папке c:\users\пользователь\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\svhostss.exe

следующие файлы:

Everything.db

Everything32.dll

Everything64.dll

session.tmp

svhostss.exe

 

быть может есть возможность дешифровать данные? 

Ссылка на сообщение
Поделиться на другие сайты
17 minutes ago, Сергей_00 said:

а именно в папке c:\users\пользователь\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\svhostss.exe

+

заархивируйте данную папку с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

--------

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

архив с папкой вируса

 

Изменено пользователем Sandor
Отправить нужно было личным сообщением, ссылку убрал
Ссылка на сообщение
Поделиться на другие сайты
3 hours ago, Сергей_00 said:

архив с папкой вируса

https://www.virustotal.com/gui/file-analysis/Yjk1MWU1MDI2NGY5YzUyNDQ1OTJkZmIwYTg1OWVjNDE6MTcxODI4OTUwMw==

 

если необходима помощь в очистке системы, соберите файлы и логи по правилам:

выполните указания в теме «Порядок оформления запроса о помощи».

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

https://cloud.mail.ru/public/oVho/SUxTMGNr5     Addition.txt

https://cloud.mail.ru/public/RHfr/hmYS2oVvR    FRST.txt

https://cloud.mail.ru/public/xNxA/ePCHZPUK2     Shortcut.txt

https://cloud.mail.ru/public/kZnA/vYSUhwiew      зашифрованные файлы

 

в зашифрованных файлах и содержится письмо вымогателей.

такое впечатление что они подменяют первые сектора файлов на свое сообщение, а нормальные сектора хранятся в everything.db

 

Ссылка на сообщение
Поделиться на другие сайты

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

 

Start::
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
CHR HKLM\...\Chrome\Extension: [pbefkdcndngodfeigfdgiodgnmbgcfha]
CHR HKLM-x32\...\Chrome\Extension: [pbcgcpeifkdjijdjambaakmhhpkfgoec]
CHR HKLM-x32\...\Chrome\Extension: [pbefkdcndngodfeigfdgiodgnmbgcfha]
CHR HKLM-x32\...\Chrome\Extension: [pomekhchngaooffdadfjnghfkaeipoba]
2024-06-11 13:39 - 2024-06-11 13:39 - 000000000 ____D C:\Users\adm\AppData\Roaming\Process Hacker 2
2024-06-10 12:32 - 2024-06-10 12:33 - 000000945 _____ C:\Users\терминал10\AppData\Local\Decryption_INFO.txt
2024-06-10 11:23 - 2024-06-10 11:23 - 000000000 ____D C:\Users\systema$\AppData\Roaming\Process Hacker 2
2024-06-10 11:19 - 2024-06-10 12:33 - 000000945 _____ C:\Decryption_INFO.txt
2024-06-10 11:19 - 2024-06-10 11:19 - 000000945 _____ C:\Users\systema$\AppData\Local\Decryption_INFO.txt
2024-06-10 11:16 - 2024-06-10 11:16 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-06-10 11:16 - 2024-06-10 11:16 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Unlocker
2024-06-10 11:16 - 2024-06-10 11:16 - 000000000 ____D C:\ProgramData\IObit
2024-06-10 11:16 - 2024-06-10 11:16 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-06-10 11:16 - 2024-06-10 11:16 - 000000000 ____D C:\Program Files (x86)\IObit
Unlock: C:\Users\systema$\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
Unlock: C:\Users\терминал10\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
2024-06-10 14:39 - 2022-03-18 12:59 - 000000000 __SHD C:\Users\systema$\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
2024-06-10 12:33 - 2022-03-10 06:02 - 000000000 __SHD C:\Users\терминал10\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Ссылка на сообщение
Поделиться на другие сайты

Системе требуется перезагрузка.

==== Конец от Fixlog 22:12:21 ====

это сделал...  а что то полезное можно вытащить из файлов содержащихся в папке с трояном? 

я имею в виду расшифровку... мне то ладно, может кому другому понадобиться:)

------------

Fixlog не надо печатать в сообщении в виде простыни, просто добавляем как вложенный файл. Это касается всех запрашиваемых логов.

 

Изменено пользователем safety
Fixlog не надо печатать в сообщении
Ссылка на сообщение
Поделиться на другие сайты

К сожалению, расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа.

 

По Mimic Ransomware, который активен в течение более 1,5 лет, к сожалению, нет в настоящее время расшифровки файлов без приватного ключа. Злоумышленники, стоящие за Mimic используют утекший в сеть билдер Conti чтобы извлечь выгоду из его различных функций и даже улучшить код для более эффективных атак.

статистика обращений на форуме:

2022 год - mimic: 20

2023 год - mimic: 61

2024 год - mimic: 57

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

хорошо,

а содержимое session.tmp не похоже на приватный ключ ?

›Џaь„Ч«vцкvЃюVо)FYy^«C‡GЈkr

 

и что же за данные в Everything.db - очень похожи на таблицу разделов диска... тем более что при открытии в блокноте любого зашифрованного файла выходит письмо вымогателей.

в любом случае, спасибо за уделенное время... 

 

 

Ссылка на сообщение
Поделиться на другие сайты
1 hour ago, Сергей_00 said:

хорошо,

а содержимое session.tmp не похоже на приватный ключ ?

›Џaь„Ч«vцкvЃюVо)FYy^«C‡GЈkr

 

и что же за данные в Everything.db - очень похожи на таблицу разделов диска... тем более что при открытии в блокноте любого зашифрованного файла выходит письмо вымогателей.

 

в любом случае, спасибо за уделенное время... 

 

 

Все зависит от схемы шифрования. Это может быть сессионный симметричный ключ которым шифруется отдельный файл, пишется он в session.tmp по причине того, чтобы в случае прерывания процесса шифрования, при возобновлении процесса, шифрование было продолжено данным ключом. (т.е. эотт ключ может быть полезен при расшифровке единственного файла)

 

Everything.db - вспомогательный файл, который возможно хранит результаты запросов файлов с использованием утилиты Everything.exe для ускорения поиска необходимых для шифрования файлов. (Никакой информации о ключах он не содержит.)

 

Возможно, что запуск Notepad.exe (с запиской о выкупе) прописан в ассоциации к зашифрованному файлу в реестре.

 

Увы, пока что Mimic является одним из самых продуктивных шифровальщиков, без решения с расшифровкой. Кроме, выкупа за приватный ключ. Или восстановления данных из бэкапов.

статистика обращений на форуме:

2022 год - mimic: 20

2023 год - mimic: 61

2024 год - mimic: 57

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Николай Щипунов
      От Николай Щипунов
      Добрый день!
       
      Компьютер пользователя атакован вирусом-шифровальщиком. Предположительный канал проникновения - доступ к удаленному рабочему столу через протокол RDP.
      Образцы файлов и записка вымогателей находятся в файле samples.zip. Незашифрованные версии файлов имеются и могут быть предоставлены по запросу.
      Сам файл шифровальщика найден и может быть предоставлен дополнительно по запросу.
       
      Операционная система  была переустановлена. Farbar Recovery Scan Tool запускалась в чистой среде.
      samples.zip Addition.txt FRST.txt
    • Ezh85
      От Ezh85
      Добрый день!
      Поймали шифровальщика. Прошу помощи. 
      Предположительно, взлом был осуществлен через RDP. Полегла вся инфраструктура.
       
      Archive.zipFRST.txt
      Addition.txt
    • Max78
      От Max78
      Здравствуйте, вирус зашифровал файлы на компьютере, все файлы переименовал *.ELPACO-team
      Прошу помощи
    • forse86
      От forse86
      Здравствуйте. Вирус зашифровал файлы и поменял название файлов на *.TELEGRAM
      Прошу помощи. 
      Addition.txt FRST.txt Вирус.rar
    • AntonK2402
      От AntonK2402
      Зашифровались все файлы  расширение WORM  
       
      как можно расшифровать ? 
×
×
  • Создать...