Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Шифроваьщик SHINRA

Rasa
 Поделиться

Рекомендуемые сообщения

safety Гигант мысли

safety

Опубликовано
Опубликовано

Добавьте, пожалуйста, саму записку о выкупе + логи FRST

Если найден сэмпл шифровальщика, заархивируйте его с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки.

  

Start::
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by Shinra
HKLM\...\Policies\system: [legalnoticetext] Email us for recovery: decoderhelp@aol.com
2024-08-13 17:28 - 2024-08-13 17:29 - 001531659 _____ C:\Users\Администратор\Desktop\virus.zip
2024-08-12 15:58 - 2024-08-12 15:58 - 000001279 _____ C:\Users\Администратор\Downloads\#SHINRA-Recovery.txt
End::

 

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.

 

по файлам:

очевидно у злоумышленников было два варианта шифрования:

LokiLocker и Proton.

https://www.virustotal.com/gui/file/575edce9a6a0afa908f89e912d8be22403268c346f0c07723f646c5abfa1d751

https://www.virustotal.com/gui/file/bbc83598d20c01b59b223234a8ccd37b2beba762bd1b4777855a3876c3546320?nocache=1

https://www.virustotal.com/gui/file/c652da24c3642226fadbd9d44d4869e78341b6090ff5562b43c4a651aada676f?nocache=1

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
  • safety изменил название на Шифроваьщик SHINRA . Datablack
safety Гигант мысли

safety

Опубликовано
Опубликовано

+ вопрос:

судя по вашим зашифрованным файлам, часть имеет расширение *Datablack, другие файлы *Backupdecoder.

Эти файлы получены с одного зашифрованного устройства, или с разных устройств.

Поясните, пожалуйста.

Ссылка на комментарий
Поделиться на другие сайты
Rasa Новичок

Rasa

Опубликовано
  • Автор
Опубликовано

вот еще скорей всего они шифровали пароль virus

svchost1.rarПолучение информации... svchost.rarПолучение информации...

это файлы с одного устройства

  В 13.08.2024 в 12:34, safety сказал:

+ вопрос:

судя по вашим зашифрованным файлам, часть имеет расширение *Datablack, другие файлы *Backupdecoder.

Эти файлы получены с одного зашифрованного устройства, или с разных устройств.

Поясните, пожалуйста.

Показать  

это файлы с одного устройства

 

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
  В 13.08.2024 в 12:35, Rasa сказал:

вот еще скорей всего они шифровали

Показать  

Это LokiLocker,

вас шифровали, скорее с помощью Stub.exe - это Proton

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
  В 13.08.2024 в 12:42, Rasa сказал:

а есть на них дешифраторы?

Показать  

К сожалению, по PROTON нет возможности расшифровать файлы без приватного ключа.

+ вопрос: файлы от имени Melor в другой теме по Proton - это ваши файлы?

Вообщем, некоторая путанницв есть:

Stub.exe x64 шифрует с расширением *.backupdecoder

C:\cp4olYSUnk.backupdecoder

Возможно часть файлов была зашифрована разными сэмплами: backupdecoder и datablack. По времени они отличаются разными днями.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
  • safety изменил название на Шифроваьщик SHINRA

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...