Rasa Опубликовано 13 августа, 2024 Опубликовано 13 августа, 2024 Поймала через уязвимого пользователя по RDP Onlgpy6awc.zip
safety Опубликовано 13 августа, 2024 Опубликовано 13 августа, 2024 Добавьте, пожалуйста, саму записку о выкупе + логи FRST Если найден сэмпл шифровальщика, заархивируйте его с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.
Rasa Опубликовано 13 августа, 2024 Автор Опубликовано 13 августа, 2024 вот эти файлы Desktop.rar Addition.txt FRST.txt
safety Опубликовано 13 августа, 2024 Опубликовано 13 августа, 2024 (изменено) По очистке системы в FRST: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу без перезагрузки. Start:: HKLM\...\Policies\system: [legalnoticecaption] Encrypted by Shinra HKLM\...\Policies\system: [legalnoticetext] Email us for recovery: decoderhelp@aol.com 2024-08-13 17:28 - 2024-08-13 17:29 - 001531659 _____ C:\Users\Администратор\Desktop\virus.zip 2024-08-12 15:58 - 2024-08-12 15:58 - 000001279 _____ C:\Users\Администратор\Downloads\#SHINRA-Recovery.txt End:: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС. по файлам: очевидно у злоумышленников было два варианта шифрования: LokiLocker и Proton. https://www.virustotal.com/gui/file/575edce9a6a0afa908f89e912d8be22403268c346f0c07723f646c5abfa1d751 https://www.virustotal.com/gui/file/bbc83598d20c01b59b223234a8ccd37b2beba762bd1b4777855a3876c3546320?nocache=1 https://www.virustotal.com/gui/file/c652da24c3642226fadbd9d44d4869e78341b6090ff5562b43c4a651aada676f?nocache=1 Изменено 13 августа, 2024 пользователем safety
safety Опубликовано 13 августа, 2024 Опубликовано 13 августа, 2024 + вопрос: судя по вашим зашифрованным файлам, часть имеет расширение *Datablack, другие файлы *Backupdecoder. Эти файлы получены с одного зашифрованного устройства, или с разных устройств. Поясните, пожалуйста.
Rasa Опубликовано 13 августа, 2024 Автор Опубликовано 13 августа, 2024 вот еще скорей всего они шифровали пароль virus svchost1.rar svchost.rar это файлы с одного устройства 4 минуты назад, safety сказал: + вопрос: судя по вашим зашифрованным файлам, часть имеет расширение *Datablack, другие файлы *Backupdecoder. Эти файлы получены с одного зашифрованного устройства, или с разных устройств. Поясните, пожалуйста. это файлы с одного устройства
safety Опубликовано 13 августа, 2024 Опубликовано 13 августа, 2024 3 минуты назад, Rasa сказал: вот еще скорей всего они шифровали Это LokiLocker, вас шифровали, скорее с помощью Stub.exe - это Proton
Rasa Опубликовано 13 августа, 2024 Автор Опубликовано 13 августа, 2024 спасибо, а есть на них дешифраторы?
safety Опубликовано 13 августа, 2024 Опубликовано 13 августа, 2024 (изменено) 7 минут назад, Rasa сказал: а есть на них дешифраторы? К сожалению, по PROTON нет возможности расшифровать файлы без приватного ключа. + вопрос: файлы от имени Melor в другой теме по Proton - это ваши файлы? Вообщем, некоторая путанницв есть: Stub.exe x64 шифрует с расширением *.backupdecoder C:\cp4olYSUnk.backupdecoder Возможно часть файлов была зашифрована разными сэмплами: backupdecoder и datablack. По времени они отличаются разными днями. Изменено 13 августа, 2024 пользователем safety
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти