Перейти к содержанию

Шифровальщик HEUR:Trojan-Ransom.Win32.Generic

Anton S
 Поделиться

Рекомендуемые сообщения

Anton S

Anton S

Опубликовано
Опубликовано (изменено)

Добрый день.

С 4:00 22.07.24 зашифровало все данные на ПК и ещё несколько по сети. Злоумышленник после оплаты пропал... Хотя и прислал "PHOBOS decryption tool", но без ключей, видимо попался мошенник. Удалось запустить Касперского нашёл "HEUR:Trojan-Ransom.Win32.Generic" в нескольких местах. 

x-decrypt@worker.com.rar FRST.txt Addition.txt

Изменено пользователем Anton S
Добавить файлы
safety

safety

Опубликовано
Опубликовано
12 минут назад, Anton S сказал:

Хотя и прислал "PHOBOS decryption tool", но без ключей, видимо попался мошенник.

Почему бы вам сразу не обратиться на форум после шифрования, а не после того как вы оплатили невыполненную работу мошенникам?

 

Эти файлы добавьте в архив с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

 

2024-07-24 11:40 - 2024-07-24 11:40 - 000061440 _____ C:\Users\sapegin_an\Desktop\ph_decrypt.exe
2024-07-22 13:14 - 2024-07-24 11:43 - 000000364 _____ C:\Users\sapegin_an\Desktop\Decrypte code.txt

 

Anton S

Anton S

Опубликовано
  • Автор
Опубликовано (изменено)

Решение по оплате принимались не мной, не могу ответить на этот вопрос.

"2024-07-22 13:14 - 2024-07-24 11:43 - 000000364 _____ C:\Users\sapegin_an\Desktop\Decrypte code.txt" - это сам создавал файл и пытался туда сохранить сгенерированный код из "ph_decrypt.exe"

Прикреплю сам вирус из хранилища Касперского

Изменено пользователем Anton S
safety

safety

Опубликовано
Опубликовано (изменено)

судя по логам FRST сэмплов шифровальщика уже нет в системе.

С расшифровкой по данному типу шифровальщика не сможем помочь.

-------

update:

по идее это должно работать так:

ph_decrypt.exe работает в двух режимах:

если есть ключ расшифровки, тогда можно будет добавить данный ключ и запустить утилиту для расшифровки файлов.

Если ключа нет, можно выполнить поиск информации для восстановления ключа.

Скорее всего, формируется файл: "Decrypte code.txt" (может содержать информацию об использованных при шифровании ключах)

Далее, этот файл отсылается злоумышленникам, они восстанавливают ключи, и возвращают клиенту после выкупа.

 

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Alexander Seregin
      Зашифрованы файлы nury_espitia@tuta.io
      Автор Alexander Seregin
      Заразились все физические компьютеры с работающим RDP
      virus.zipinfo.txtфайлы.zip
    • Sholpan
      зашифровали весь компьютер, ghost@mm.st, phobos
      Автор Sholpan
      Добрый день, зашифровали весь компьютер, все файлы. Оплатил в BC 1080USD - вначале просили 1200USD, дали скидку 10%. 
       
      После оплаты пропали на 24 часа, и потом вышли на связь выслали декриптор phobos 
      "Good afternoon. Sorry there were technical problems. Download the program, press the "SCAN" button, send the received code to us." 
      ph_decrypt
      Отправил код
      vPBFM2fZYUOX1EYzdT+/sCqOm6wGfH7zz/HNFuLCaR660PJcydsfQDw11V4B5YP3K+WQ4kZKVBoQb4SATPPa9eFP6DAugPCfJDoape1GdGuTNW/hhDWjRyHHIrTvUr5z0VCMROj/X1jYw6LYG1iSGu3xon59MfQnmWWjYGdmIdf8PWUclPrQ1EEHiOAu80UzC9uF1FMxM4C9EvHrJtIiUoQZbum7LKueLMjvd89/WB0vI3XUmCZ1rizvwGkzRUWFXsBBrNW4nToJs+6K+qhcCyuGATaJUMjGif6DitnbPojGSycKlVrfgewYKrLoe6GvQo+xcqA4HrfZaad0GQmjtD/cci+rxq67cNDS1ABWC5NR9kUzohBxO7KEINZ9ygNWcAe6NcLIPo7xbQ+CD2jU2VUMovLDv9Gn29GNEgWjXEDLKU2YRF9blGEefV9NEkEWda6QymeFb/QYX9P0PXNm93ZrhuQhkrRmVm5h0gR9K72V5Jz/UeJFCyRBOHELQWbzGOHte76rfvZYJoP8iBiuMpeUJQoE9kUza/BJjfTg5Rg5Hjo7nKrQHtkzpHhW9RKfQK13r19dY1nGADdCD1TMlzVwDMmU7jXICtQvhvhN3MxHXfonax7zRWgl7GMdewEV0mrr9tXfXWSAHFJDLGg3jY0H8DSimSuKaa8U3CKuxgyUuFjney4PIjMRYabZyNDiOOERWAdSXzO88UUzusXvKc5dv0T6KVyrEWcN9OzEcXeFjNw/Ropj3ExEJo0B4xFAyUfVv2jNZ1fMzlrUMPdpeMP4u0WQlpi7gUhbv+Eam27ySZ8GiQrH+7uhR/OUQTc8oJlhn0QLkFvyxtDZLiHg5Lcna1AxpFQR1l7HwfkGU6k4i8WyyQQlgLy0r7y38EUzaO01E9LuOhAc22DwM3nlpXqtuxj5E9elBruTat1Mihpa7i5Ijb3IAflFfUuwMtvmtmrXvGe5QePnwJ6Pr55dy+WPjfnERgoAHtJLb6DyMmpSRjXCcaNayaqYQEaAvXF3eul0L+eyiI/jQHfCWqJUkNoTDM/Tu9aNfW4LBXUAicum8EUzemwsUGTVHXe20wt1vY5+2GSCA86R3UxKfexuoxc5NQsmD/5AjJff6+qdB4br6Jy0lezP2pVywOHdabcIWa5g2gMreS2X65cPkZ5+wFN094ToJ5jr82YlkZQLPFTjh7+xrmP+r8EPLsu1Pnu0lPpv7Ux3rHLi9mQbSDW/N7NBvAmp8EUzQJQaHsOQ45n8aEKS/fqlTsKLBm6QCQMmp9GhG12R0aI4n/RP7EkZYrfHwplHzV0CuZK7m2izrZDILVps52+paXe7r7nce3TAs/ed352qJqFmuJYIn7NEBUeKV3BW8tZeyP+xIqaH+FTlvvKLCL5u64lZ969FArHbg8yx9SG8cZ6n8EUzAFRyw7IWPYUwgdFdoNwi6Or9LWf+Whr6NdAXOIMnaJm9S9UJn9x0C9+QbKIXNbvIjrX9w833Kcfg/7/qJ9cRoxR78czDUf5zEIyCu7VoC0r5vFGyCOD7uXMDOGE5Cyl5kDwG9jozTF2ugTES9JFZyqFxhtGkOBgKhAyXeGCA/asXmEQzOJ4CR52SE7wXLuap0wDKV2nFxSHv88Jy6oQuCJEYzjmae0/Z2MhjLW2lI7JwPaR62euH3sEFi/p3P0spmjhfWjh8mYqLjwT+jDxwjwRx9SAIHqoS63MBlJXU6QfrJyj9FwV2AkzY7FPqTngF97UTXAH6gmKCVB3a6YKdLVZJ7AFv8kUzQbRZbZuggxPs/kQhxcstY7xvZn9Km5ex7be57H6AW8K96R17LRBwkfOtjeptGL2b+xfnW2DQbpbuwbXMHM54HovLqNzEENMuSluOMeVL/csSMEgFUjQF+IPpEtt5MoST7RteMSQqwCnQfmYmGkJT/DhzjKG3rAHkFl3GUoiuct8/ukUzi6wTN49kZBYFoY4T07SoCDkG90iYsvaxm7a/ukkv+Aj5MqGRUavXzCr/ZRX2dJPr1jGpCLrsuzhRDhmXfPo2AbksF56jr8Q7Opho+jG1AARU7hR0FA0o3QLonbHx0DNeIHLrUeurLYZOHNAi84+iDXZ3AuLuBM40L1xqpV/Z0lut8EUzSVn7F183aISZlONoF+3HYTfTOTkvH2b0217AP1RBkGIGXuCG4V5UEjiiNRBRSjLw2WNT3qirSmsfCykiexP0teX7tjjrGdF72ID0KiCh2+DB2N4VvSFd9wvy/+5DTs3J+rR4itJ6kmsfPUesoXShkf27M9hnX0IYVjVWQxnEKPfpgkAzhxJIycFhYE987O2/DbjxOZ4eFE0GpwGP7zc1f+qsomereRiqap10/uSK/fTWtq2MwbfjSmPqtvtGHizxWE7vOUix5PARrOEbAvFseFL7kSmURz+7NvZ6lv5fAC6WPPJ7sGvqahtRfKCrZiFhMTUW605Vgo50JDa6NeuogtVlACuG90UzT8d/8HBgGwr0l6Xpr/NqEhUT8KmIjeim+tpm7OHQVUUCQJ1m0DJlW5xDEhs64CLA31DCQdrSGMgnuRq7PoR85z4D9jlM66CCdVn4sUwRfrnh/uwU+t/5KJKCSPheJOBZEVNIJ8Glrky7ueHd/5UdSTUuZ/yu0PWuAPM3fGWbg9TI8EUzAZ4GiYjkBJkGNYCadDNdmHyEk3544McGnmZmAa9Ssabw/r9OmHhvWV67/2qljmwJBcmM15RxJ2RZtaXQ5btykXtySCuSYlEvHboP40piXgujxaBtDhHaBsWK3TN45ETfXv1VlGItN1WJMda7JN0nnnJU3M1WATs0N0sQ6qsyDno=
       
       
      Теперь снова тишина, 3 суток. 
      Не знаю, что делать, ждать или уже искать другие пути, если, конечно, они они есть
       
      Приложение
    • avotovich
      Атаковали шифровальщиком
      Автор avotovich
      не получается найти дешифровщика на "idB8A66682_3349_johnhelper123" вот такое вот чудо прилагаю ссылку на файл который можно потестировать
    • Dalex
      Поймали вирус-шифровальщик
      Автор Dalex
      Поймали вирус-шифровальщик, прошу FRST.txtпомочь с расшифровкой файлов.
      info.zip Addition.txt
    • itadler
      Помогите с шифровальщиком
      Автор itadler
      FRST.txtLicData2.txt.id[FC9CD4F7-3426].[decrypt@techie.com].zipAddition.txt
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь   
×
×
  • Создать...