Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Помощь в борьбе с шифровальщиками-вымогателями

Melor
 Поделиться

Рекомендуемые сообщения

thyrex Мудрец

thyrex

Опубликовано
Опубликовано
  Цитата

 

C:\Users\Администратор.FILESV\Desktop\Stub.exe

C:\Users\Администратор.FILESV\Documents\LoginParser.exe

C:\Users\Администратор.FILESV\Documents\AIMP2.exe

 

Показать  

все три файла проверьте на virustotal.com и пришлите ссылки на результат анализа

Ссылка на комментарий
Поделиться на другие сайты
Melor Новичок

Melor

Опубликовано
  • Автор
Опубликовано

https://www.virustotal.com/gui/file/2dc0ce00ff330bcfa1dbd0bce8845f9b5072711ede1e3161585946a2606d49f7?nocache=1

https://www.virustotal.com/gui/file/c2654f6b39a0f44e4ba5f5cf5fcfc2138187365edcc31f71d4c212a4636d984c?nocache=1

https://www.virustotal.com/gui/file/c2654f6b39a0f44e4ba5f5cf5fcfc2138187365edcc31f71d4c212a4636d984c?nocache=1

  В 13.08.2024 в 20:03, thyrex сказал:

все три файла проверьте на virustotal.com и пришлите ссылки на результат анализа

Показать  

https://www.virustotal.com/gui/file/2dc0ce00ff330bcfa1dbd0bce8845f9b5072711ede1e3161585946a2606d49f7?nocache=1

https://www.virustotal.com/gui/file/c2654f6b39a0f44e4ba5f5cf5fcfc2138187365edcc31f71d4c212a4636d984c?nocache=1

https://www.virustotal.com/gui/file/c2654f6b39a0f44e4ba5f5cf5fcfc2138187365edcc31f71d4c212a4636d984c?nocache=1

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

@Melor,

по ссылкам у вас загружены для проверки зашифрованные файлы. 

 

Вас просили проверить эти три файла на Virustotal.com,

  Цитата

 

C:\Users\Администратор.FILESV\Desktop\Stub.exe

C:\Users\Администратор.FILESV\Documents\LoginParser.exe

C:\Users\Администратор.FILESV\Documents\AIMP2.exe

 

Показать  

 

и дать ссылки на результат их проверки.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Melor Новичок

Melor

Опубликовано
  • Автор
Опубликовано
  В 14.08.2024 в 04:08, safety сказал:

@Melor,

по ссылкам у вас загружены для проверки зашифрованные файлы. 

 

Вас просили проверить эти три файла на Virustotal.com,

 

и дать ссылки на результат их проверки.

Показать  

Виноват.

https://www.virustotal.com/gui/file/6042062aa73c5a8b47fa188661c3c0fa9fd7f56fe6bce85fef698d9bbe96cb9b

https://www.virustotal.com/gui/file/10c0dd2878bd0ab9732cd593febf61d94bb2b798bf0aa1c8fa45ddf8c7092cbc

https://www.virustotal.com/gui/file/9c6f65782fc31a6f57285259cf881af9ec5a63d34daae86912940c99aa73e14c

Ссылка на комментарий
Поделиться на другие сайты
Melor Новичок

Melor

Опубликовано
  • Автор
Опубликовано
  В 14.08.2024 в 07:31, safety сказал:

Спасибо.

1.Win64/HackTool.BruteForce.B

2. HackTool.LoginParse

3. сэмпл шифровальщика. HEUR:Trojan-Ransom.Win32.Generic

Показать  

Если способ востоновить файлы после данного вируса?

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
  В 14.08.2024 в 07:52, Melor сказал:

Если способ востоновить файлы после данного вируса?

Показать  

проверил файл из архива

это сэмпл шифровальщика для *Datablack

https://www.virustotal.com/gui/file/9c6f65782fc31a6f57285259cf881af9ec5a63d34daae86912940c99aa73e14c/community

 

Расшифровки по данному типу шифровальщика к сожалению невозможен без приватного ключа.

Можем помочь только с очисткой системы.

 

Ссылка на комментарий
Поделиться на другие сайты
Melor Новичок

Melor

Опубликовано
  • Автор
Опубликовано
  В 14.08.2024 в 07:59, safety сказал:

проверил файл из архива

это сэмпл шифровальщика для *Datablack

https://www.virustotal.com/gui/file/9c6f65782fc31a6f57285259cf881af9ec5a63d34daae86912940c99aa73e14c/community

 

Расшифровки по данному типу шифровальщика к сожалению невозможен без приватного ключа.

Можем помочь только с очисткой системы.

 

Показать  

Очень жаль, спасибо.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

По очистке системы  в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки.

  

Start::
Startup: C:\Users\Администратор.FILESV\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\18C3CABC5D6AC4ACB7041DE4453ACE15.rar [2024-08-13] () [Файл не подписан]
2024-08-10 22:22 - 2024-08-10 22:22 - 000000460 _____ C:\Users\Администратор.FILESV\Downloads\#Recovery.txt
2024-08-10 22:22 - 2024-08-10 22:22 - 000000460 _____ C:\Users\Администратор.FILESV\Documents\#Recovery.txt
2024-08-10 22:22 - 2024-08-10 22:22 - 000000460 _____ C:\Users\Администратор.FILESV\Desktop\#Recovery.txt
2024-08-10 22:22 - 2024-08-10 22:22 - 000000460 _____ C:\Users\Администратор.FILESV\AppData\Roaming\Microsoft\Windows\Start Menu\#Recovery.txt
2024-08-10 22:22 - 2024-08-10 22:22 - 000000460 _____ C:\Users\Администратор.FILESV\AppData\Local\#Recovery.txt
2024-08-10 22:22 - 2024-08-10 22:22 - 000000460 _____ C:\Users\Администратор.FILESV\#Recovery.txt
2024-08-10 22:21 - 2024-08-10 22:21 - 000000460 _____ C:\Users\Public\Downloads\#Recovery.txt
2024-08-10 22:21 - 2024-08-10 22:21 - 000000460 _____ C:\Users\Public\Documents\#Recovery.txt
2024-08-10 22:21 - 2024-08-10 22:21 - 000000460 _____ C:\Users\Public\Desktop\#Recovery.txt
2024-08-10 22:21 - 2024-08-10 22:21 - 000000460 _____ C:\Users\Public\#Recovery.txt
2024-08-10 22:21 - 2024-08-10 22:21 - 000000460 _____ C:\ProgramData\Microsoft\Windows\Start Menu\#Recovery.txt
2024-08-10 22:21 - 2024-08-10 22:21 - 000000460 _____ C:\ProgramData\#Recovery.txt
2024-08-10 22:14 - 2024-08-10 22:14 - 000000460 _____ C:\Program Files (x86)\#Recovery.txt
2024-08-10 22:06 - 2024-08-10 22:06 - 000000460 _____ C:\Program Files\#Recovery.txt
2024-08-10 22:03 - 2024-08-10 22:03 - 000000460 _____ C:\Users\#Recovery.txt
2024-08-10 22:03 - 2024-08-10 22:03 - 000000460 _____ C:\#Recovery.txt
2024-08-10 22:01 - 2024-06-22 22:11 - 001252864 _____ C:\Users\Администратор.FILESV\Desktop\Stub.exe
2024-08-10 21:52 - 2019-07-03 05:09 - 000008704 ____N () C:\Users\Администратор.FILESV\Documents\LoginParser.exe
2024-08-10 21:49 - 2018-02-25 03:12 - 011309568 _____ C:\Users\Администратор.FILESV\Documents\AIMP2.exe
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.

Ссылка на комментарий
Поделиться на другие сайты
Melor Новичок

Melor

Опубликовано
  • Автор
Опубликовано

Добрый день, мошейники прислали дешефратор, высылаю его вам, возможно он будет вам полезен.

18C3CABC5D6AC4ACB7041DE4453ACE15.rarПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Rome0
      Шифровальщик-вымогатель .kwx8
      Автор Rome0
      15.02 ночью. Судя по всему RDP. На комп был проброшен нестандартный порт. Комп для удаленного подключения был включен круглосуточно. Все бы ничего, но остались незавершенные сессии с сетевым хранилищем NAS и там тоже все зашифровало... Все файлы с расширением .kwx8
      Без Вашей помощи не обойтись явно.
      Desktop.zip
    • Always_Young
      Шифровальщик вымогатель. Расширение .y8ItHTbGJ
      Автор Always_Young
      Здравствуйте! На ПК пришло письмо с файлом с раширением .cab. Файл находится в облаке. Скрин проверки с VirusTotal прилагается. После этого все документы JPEG, JPG,PDF,XLSX,DOCX оказались зашифрованы. Доступ на ПК осуществлялся удаленно, через AnyDesk. В сети три ПК и один ноутбук по Wi-Fi. Заражен оказался один. Есть ли возможность расшифровать? 

      Addition.txt FRST.txt y8ItHTbGJ.README.txt Файлы шифр.zip
    • AJIEKCAHDP
      Нужна помощь, Шифровальщик cyberfear
      Автор AJIEKCAHDP
      Утром (26.02.2025) Зашифровало абсолютно все.  Помогите пож. 
      26022025.rar
    • BORIS59
      [РАСШИФРОВАНО] Поймал шифровальщика вымогателя.
      Автор BORIS59
      Доброго времечка поймал шифровальщик, система не переустанавливалась.
      Зашифровали файлы (WANNACASH NCOV v170720), требуют выкуп!
      Попался на поиске ключей ESET, в 2020г. Обращался в ESET про пудрили
      мозг и смылись. Приложил скрин kvrt сделан сразу после шифровки.
      Подскажите, пожалуйста, возможно восстановить?

      Farbar Recovery Scan Tool.zip Файлы с требованиями злоумышленников.zip Зашифрованные файлы.zip
    • Zubarev211
      Зашифровали данные компьютера с помощью шифровальщика Xorist
      Автор Zubarev211
      Добрый день, поймали шифровальщик Xorist, зашифровали все файлы расширением *.er. Нужно было восстановить базу данных 1С. Из теневой папки получилось восстановить 1CD8.1CD
      Указанный файл не был зашифрован расширением .er, но при запуске выдавало ошибку о повреждении данных.

      Так же пытались вашим декриптором использовали пару 2х файлов, но так же получали ошибку(пробовали на документах ворд)

      Подскажите пожалуйста какие дальнейшие шаги нам нужно сделать, чтобы восстановить базу. Спасибо! 
×
×
  • Создать...