Перейти к содержанию

Шифровальщик HEUR:Trojan-Ransom.Win32.Generic


Рекомендуемые сообщения

Добрый день.

С 4:00 22.07.24 зашифровало все данные на ПК и ещё несколько по сети. Злоумышленник после оплаты пропал... Хотя и прислал "PHOBOS decryption tool", но без ключей, видимо попался мошенник. Удалось запустить Касперского нашёл "HEUR:Trojan-Ransom.Win32.Generic" в нескольких местах. 

x-decrypt@worker.com.rar FRST.txt Addition.txt

Изменено пользователем Anton S
Добавить файлы
Ссылка на комментарий
Поделиться на другие сайты

12 минут назад, Anton S сказал:

Хотя и прислал "PHOBOS decryption tool", но без ключей, видимо попался мошенник.

Почему бы вам сразу не обратиться на форум после шифрования, а не после того как вы оплатили невыполненную работу мошенникам?

 

Эти файлы добавьте в архив с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

 

2024-07-24 11:40 - 2024-07-24 11:40 - 000061440 _____ C:\Users\sapegin_an\Desktop\ph_decrypt.exe
2024-07-22 13:14 - 2024-07-24 11:43 - 000000364 _____ C:\Users\sapegin_an\Desktop\Decrypte code.txt

 

Ссылка на комментарий
Поделиться на другие сайты

Решение по оплате принимались не мной, не могу ответить на этот вопрос.

"2024-07-22 13:14 - 2024-07-24 11:43 - 000000364 _____ C:\Users\sapegin_an\Desktop\Decrypte code.txt" - это сам создавал файл и пытался туда сохранить сгенерированный код из "ph_decrypt.exe"

Прикреплю сам вирус из хранилища Касперского

Изменено пользователем Anton S
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • bakanov
      От bakanov
      Добрый день , поймали шифровальщик HEUR:Trojan-Ransom.Win32.Mimic.gen. Залез судя по всему через RDP , отсканировал домен, получил доступы к администратору домена domain\administrator и начал все шифровать куда есть доступы админа. Машину вырубили, загрузился с livecd , нашел хвосты , временные файлы и т.д. Есть варианты файлов до шифровки и после шифровки , есть ли возможность найти ключик для дешифровки для конкретно это машины ?
    • Zafod
      От Zafod
      Произошло шифрование файлом Locker.exe из под учётной записи администратора домена admin$ (создан вирусом). Время когда учётка админа (admin$) была создана удалено из логов (из логов пропали сутки). На сервере установлен Kaspersky Endpoint Security под управлением KSC, вирус был обнаружен, скопирован в карантин, удалён, но данные всё равно зашифрованы. Машина с KSC так же зашифрована и не стартует.
      1.zip
    • RQST
      От RQST
      Добрый день!

      Прошу помощи с шифровальщиком mimic / elpaco. Поражена инфраструктура офиса.

      -----------

      Сообщение шифровальщика:

      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted
      Your decryption ID is D6F1UYsBfAD8vuYRO-7qBajEYC86q4SkUIPo7z8LpE0*ELPACO-team
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - de_tech@tuta.io
      2) Telegram - @Online7_365  or https://t.me/Online7_365
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.

      -----------

      Пароль на архивы - "virus" (без кавычек)

      root.zip - Файлы из корня диска, в том числе зашифрованные (расширение зашифрованных файлов - .ELPACO-team)
      temp.zip - временные файлы вируса
      F6A3737E-E3B0-8956-8261-0121C68105F3.zip - вирус (запуск через ветку реестра run) по ссылке https://disk.yandex.ru/d/dkHtydu6GhGFEA

      ----

      frst.zip и FS01-S-2024-07-21_09-25-57_v4.15.7v.7z - отчеты
      frst.zip root.zip temp.zip FS01-S-2024-07-21_09-25-57_v4.15.7v.7z
    • ГГеоргий
      От ГГеоргий
      pdm:exploit.win32.generic
      Здравствуйте
      начиная с 1 го августа ловим сработки на нескольких наших группах.
      первая группа - физические ПК с KES
      вторая группа - виртуальные машины с KSLA
      проблема появилась одновременно на всех устройствах

      закономерность в сработках отследить трудно
      ругается всегда на файл svchost
      Описание из события на KES:
      Описание результата: Обнаружено
      Тип: Троянское приложение
      Название: PDM:Exploit.Win32.Generic
      Пользователь: NT AUTHORITY\LOCAL SERVICE (Системный пользователь)
      Объект: C:\Windows\System32\svchost.exe
      Причина: Поведенческий анализ
      Дата выпуска баз: 02.08.2024 20:19:00
      SHA256: 6FC3BF1FDFD76860BE782554F8D25BD32F108DB934D70F4253F1E5F23522E503
      MD5: 7469CC568AD6821FD9D925542730A7D8

      описание с KSLA (сначала "обнаружено" затем "запрещено")
      Объект: C:\Windows\System32\svchost.exe
      Результат: Запрещено: PDM:Exploit.Win32.Generic
      Причина: Опасное действие
      Пользователь: NT AUTHORITY\СИСТЕМА

      откуда снимать трассировки и отчеты не ясно
      все что нашли по зависимостям это именно одновременные сработки
      на Virus total проверяли, ничего не нашли
      KATA тоже показывает что все ок но угрозу это видит
      ваш сайт проверки false positive тоже показывает что всё ок с подписью от microsoft

      через ката видим
      параметры запуска:
      C:\\Windows\system32\svchost.exe -k localservice -p -s remoteregistry
      файл C:\\Windows\System32\svchost.exe

      по флагам похоже на удаленный доступ к реестру
      подскажите куда копать?
      false positive или нет?
      На пк и виртуалках стоит Windows 10
      KES 12.5 на физических
      KSLA 5.2 на виртуалках
    • Алексей1977
      От Алексей1977
      Добрый день! В принципе в заголовке все описал. Хотел поинтересоваться, был ли у кого положительный опыт в расшифровке этих файлов?
×
×
  • Создать...