Перейти к содержанию

Поймал шифровальщик 9ebhyPlsg

ASPIDWAR
 Share

Рекомендуемые сообщения

ASPIDWAR Новичок

ASPIDWAR

Опубликовано
Опубликовано

Всем доброго времени суток. Поймал вирус шифровальщик через архив. Теперь все файлы перед форматом имеют расширение 9ebhyPlsg. Лог и прочие файлы прикладываю. Shif-Files - зашифрованный файл и файл с требованиями злоумышленников. С системой ничего не делал. Стоит Windows 7 X64

Addition.txt FRST.txt Shif-files.zip

Ссылка на комментарий
Поделиться на другие сайты
ASPIDWAR Новичок

ASPIDWAR

Опубликовано
  • Автор
Опубликовано (изменено)
4 минуты назад, thyrex сказал:

С расшифровкой помочь не сможем.

 

Чистка мусора в системе нужна или система под переустановку?

Можно чистку мусора в системе. Файлы ничем не расшифровать? Может поиск вируса шифровальщика поможет?

Изменено пользователем ASPIDWAR
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

Этот файл заархивируйте с паролем virus, загрузите архив на облачный диск, пришлите ссылку на скачивание архива в ЛС (личные сообщения)

2024-07-24 12:57 - 2024-07-24 12:57 - 002077968 _____ (COMODO) C:\Users\Rab\Downloads\Aкт сверки взаимных расчетов предприятия №89 за период 1 марта -23 июля 2024 года .exe

Шифрование от команды room155,

Обращайте внимание на подобную почту с архивными вложениями "Aкт сверки взаимных расчетов*, в теле письма может быть указан даже пароль к архиву. Информируйте ваших сотрудников об этом.

Установите наконец в политиках, запрет на запуск исполняемых файлов из архивов.

 

Расшифровка по данному типу шифровальщика невозможна без приватного ключа. Восстановление возможно только из архивных копий, которые обязательно должны быть у вас и храниться на отдельных от системы носителях.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)
6 часов назад, safety сказал:

2024-07-24 12:57 - 2024-07-24 12:57 - 002077968 _____ (COMODO) C:\Users\Rab\Downloads\Aкт сверки взаимных расчетов предприятия №89 за период 1 марта -23 июля 2024 года .exe

текущий детект файла:

https://www.virustotal.com/gui/file/de3283836f72ff53462805a88501105625a65076731f2ac1a4bce01d6f4357a9?nocache=1

 

по очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда FRST будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки.

  

Start::
2024-07-31 10:12 - 2024-07-31 10:20 - 000001852 _____ C:\Users\Rab\AppData\LocalLow\9ebhyPlsg.README.txt
2024-07-31 10:12 - 2024-07-31 10:20 - 000001852 _____ C:\Users\Rab\AppData\Local\9ebhyPlsg.README.txt
2024-07-31 10:07 - 2024-07-31 10:20 - 000001852 _____ C:\Users\Rab\AppData\Roaming\9ebhyPlsg.README.txt
2024-07-31 10:07 - 2024-07-31 10:20 - 000001852 _____ C:\Users\Rab\AppData\9ebhyPlsg.README.txt
2024-07-31 09:57 - 2024-07-31 10:20 - 000001852 _____ C:\Users\Rab\Documents\9ebhyPlsg.README.txt
2024-07-31 09:57 - 2024-07-31 10:20 - 000001852 _____ C:\Users\Rab\Desktop\9ebhyPlsg.README.txt
2024-07-31 09:56 - 2024-07-31 10:20 - 000001852 _____ C:\Users\Rab\Downloads\9ebhyPlsg.README.txt
2024-07-31 09:55 - 2024-07-31 10:20 - 000001852 _____ C:\Users\TEMP\AppData\LocalLow\9ebhyPlsg.README.txt
2024-07-31 09:55 - 2024-07-31 10:20 - 000001852 _____ C:\Users\TEMP\AppData\Local\9ebhyPlsg.README.txt
2024-07-31 09:55 - 2024-07-31 10:20 - 000001852 _____ C:\Users\TEMP\AppData\9ebhyPlsg.README.txt
2024-07-31 09:55 - 2024-07-31 10:20 - 000001852 _____ C:\Users\TEMP\9ebhyPlsg.README.txt
2024-07-31 09:55 - 2024-07-31 10:20 - 000001852 _____ C:\Users\Rab\9ebhyPlsg.README.txt
2024-07-31 09:55 - 2024-07-31 10:20 - 000001852 _____ C:\Users\9ebhyPlsg.README.txt
2024-07-31 09:55 - 2024-07-31 10:20 - 000001852 _____ C:\9ebhyPlsg.README.txt
2024-07-24 12:57 - 2024-07-24 12:57 - 002077968 _____ (COMODO) C:\Users\Rab\Downloads\Aкт сверки взаимных расчетов предприятия №89 за период 1 марта -23 июля 2024 года .exe
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Максим Шахторин
      Тоже Поймали шифровальщика ELPACO-team
      От Максим Шахторин
      Здравствуйте, ELPACO-team залетел в наш сервер, зашифровал 1с, если кто научился дешифровать, дайте знать. Хакеры указали не вменяемую сумму за ключ.
    • AndOrNot
      Поймал шифровальщик ooo4ps и Bitlocker
      От AndOrNot
      Сегодня с утра обнаружилось, что файлы документов на системном диске сервера 1С зашифрованы шифровальщиком. В папках содержится файл FILES_ENCRYPTED.txt, файлы имеют расширение .ooo4ps, локальный диск E:, на котором содержались базы 1С, заблокирован Bitlocker. USB диск, подключенный к серверу и содержавший Windows Backup, пустой. Судя по времени создания файлов, вредонос работал утром в субботу. Прошу помощи.
       
      ooo4ps.zip
    • Insaff
      Поймали Шифровальщика
      От Insaff
      Во всех расшареных папках зашифрованы файлы.
      Файлы имеют расширение ELPACO-team-***gCG***
      в некоторых папках лежит письмо с текстом
       
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by ELPACO-team
      Your decryption ID is *****QR14*ELPACO-team-gCG****
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - el_kurva@tuta.io
      2) Telegram - @DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      Написал я им на почту, пришел ответ, что надо заплатить 0,25 биткоина (получается около 1,5 млн)
      Есть ли Возможность у ко-нить за вознаграждение, чуть меньшее)) помочь с этим шифровальщиком.
       
       
      Молотки Можайск.pdf.zip
    • АлександрК879
      Поймали шифровальщика Lockbit Black
      От АлександрК879
      Здравствуйте. Поймали эту мерзость.
      В файле virus.zip - сами зашифрованные файлы и требование
      В файле archiv.zip - те же файлы расшифрованные
      Логи остальное 
      Архив.zip virus.zip Addition.txt FRST.txt
    • slot9543
      Поймали шифровальщика на сервер
      От slot9543
      Поймали шифровальщика на несколько виртуальных серверов которые находятся на одном гипервизоре VMware.
      Собрал информацию для одного из серверов (есть еще второй зашифрованный, но он пока не запускается).

      В систему проникли основательно, удалили все вируталки с бекапами.
      Бэкапов нет, очень хочется расшифровать.

      В системе присутствует файл C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE
      Упаковал его в архив с паролем virus и готов скинуть ссылку на этот архив в облаке.


      Заранее спасибо!
      ЗашифрованныеФайлы.zip Addition.txt FRST.txt
×
×
  • Создать...