Перейти к содержанию

Рекомендуемые сообщения

Добавьте, пожалуйста, саму записку о выкупе + логи FRST

Если найден сэмпл шифровальщика, заархивируйте его с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.

Ссылка на сообщение
Поделиться на другие сайты

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки.

 

Start::
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by Shinra
HKLM\...\Policies\system: [legalnoticetext] Email us for recovery: decoderhelp@aol.com
2024-08-13 17:28 - 2024-08-13 17:29 - 001531659 _____ C:\Users\Администратор\Desktop\virus.zip
2024-08-12 15:58 - 2024-08-12 15:58 - 000001279 _____ C:\Users\Администратор\Downloads\#SHINRA-Recovery.txt
End::

 

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.

 

по файлам:

очевидно у злоумышленников было два варианта шифрования:

LokiLocker и Proton.

https://www.virustotal.com/gui/file/575edce9a6a0afa908f89e912d8be22403268c346f0c07723f646c5abfa1d751

https://www.virustotal.com/gui/file/bbc83598d20c01b59b223234a8ccd37b2beba762bd1b4777855a3876c3546320?nocache=1

https://www.virustotal.com/gui/file/c652da24c3642226fadbd9d44d4869e78341b6090ff5562b43c4a651aada676f?nocache=1

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
  • safety changed the title to Шифроваьщик SHINRA . Datablack

+ вопрос:

судя по вашим зашифрованным файлам, часть имеет расширение *Datablack, другие файлы *Backupdecoder.

Эти файлы получены с одного зашифрованного устройства, или с разных устройств.

Поясните, пожалуйста.

Ссылка на сообщение
Поделиться на другие сайты

вот еще скорей всего они шифровали пароль virus

svchost1.rar svchost.rar

это файлы с одного устройства

4 минуты назад, safety сказал:

+ вопрос:

судя по вашим зашифрованным файлам, часть имеет расширение *Datablack, другие файлы *Backupdecoder.

Эти файлы получены с одного зашифрованного устройства, или с разных устройств.

Поясните, пожалуйста.

это файлы с одного устройства

 

Ссылка на сообщение
Поделиться на другие сайты
3 минуты назад, Rasa сказал:

вот еще скорей всего они шифровали

Это LokiLocker,

вас шифровали, скорее с помощью Stub.exe - это Proton

Ссылка на сообщение
Поделиться на другие сайты
7 минут назад, Rasa сказал:

а есть на них дешифраторы?

К сожалению, по PROTON нет возможности расшифровать файлы без приватного ключа.

+ вопрос: файлы от имени Melor в другой теме по Proton - это ваши файлы?

Вообщем, некоторая путанницв есть:

Stub.exe x64 шифрует с расширением *.backupdecoder

C:\cp4olYSUnk.backupdecoder

Возможно часть файлов была зашифрована разными сэмплами: backupdecoder и datablack. По времени они отличаются разными днями.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
  • safety changed the title to Шифроваьщик SHINRA

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Bandersnatch
      От Bandersnatch
      Здравствуйте. На рабочем компе случилась печаль беда. Я так подозреваю, что вирус попал через RDP. Зашифровались как файлы офиса, так и файлы базы 1С. Ломанули админскую учетку, отрубили защиту и сделали все эти непотребства. Антивирусом были определены: Ransom:Win64/Akira.CCDR!MTB, Ransom:Win32/Conti.AD!MTB, Trojan:Win32/Tiggre!rfn. 
      Addition.txt Desktop.rar FRST.txt
    • AYu
      От AYu
      Взломали сервер, зашифровали данные, требуют выкуп. Может ктосталкивался с ним? Ведем переговоры с *****
      yFhK8sxrC0.rar
    • energetic
      От energetic
      Вирус шифровальщик работает с помощью mimikatz делают dump и достают хеш паролей или в открытом виде, коннектятся к серверам выдают привилегии повышенные, файл в startup вкладку в главном меню. ПОсле перезагрузки шифрует. Если у кого то есть возможность помочь расшифровать буду благодарен.
      #ZENEX-Help.txt 1.txt.[prodecrypter@aol.com].ZENEX.zip
    • Melor
      От Melor
      Прошу помощи в дешифровке файлов.
      Desktop.rar Addition.txt FRST.txt
    • Vital888
      От Vital888
      Здравствуйте. Помогите пожалуйста. На компьютере с утра обнаружил зашифрованные файлы. 
       
×
×
  • Создать...