blackshadow Поймали Elons

[nonamevit]

Все файлы зашифрованы и имеют расширение Elons и внутри лежит файл в каталогах Elons_Help.txt  с таким содержимым 

Есть софт которым можно расшифровать? 

IF YOU SEE THIS PAGE, IT MEANS THAT YOUR SERVER AND COMPUTERS ARE ENCRYPTED.

# In subject line please write your personal ID
186*********

# What is the guarantee that we will not cheat you?
Send us a small encrypted file to the listed emails.
(The files must be in a common format, such as: doc-excel-pdf-jpg)
We will decrypt these files and send them back to you as evidence.

Contact us:
Elons1890@mailum.com
Elons1890@cyberfear.com

Изменено 17 сентября пользователем safety

[Sandor]

Прочтите и выполните Порядок оформления запроса о помощи

Новую тему создавать не нужно, продолжайте здесь.

 

Если на форуме oszone тоже ваша тема, сообщите.

[nonamevit]

Proxima/Blackshow/Elons

это же такой тип шифровальшика?

[safety]

17 минут назад, nonamevit сказал:

это же такой тип шифровальшика?

да, но лучше сейчас добавить несколько зашифрованных файлов, записку о выкупе в виде файла, без изменения оригинального имени + логи FRST

Будет много интересного.

[nonamevit]

вот 

 

 

Изменено 16 сентября пользователем kmscom
удалены вложения по просьбе автора

[safety]

Если есть такая возможность, переделайте логи FRST под учетной записью Администратора.

Запущено с помощью ***atov (ВНИМАНИЕ: Пользователь не является Администратором) на MIND*****  (16-09-2024 14:42:13)

 

Изменено 16 сентября пользователем safety

[nonamevit]

доступ к файлам в этом посте имеют только работники/модераторы лаборатории касперского?

задаю вопрос, потому-что мне написал на мессенджер некий человек и представился работником и просил передать ему файлы 

[safety]

8 часов назад, nonamevit сказал:

доступ к файлам в этом посте имеют только работники/модераторы лаборатории касперского?

да, доступ к вложениям имеют только консультанты/модераторы, поэтому мы просим не развертывать записку о выкупе с указанием ID, а добавлять файл как вложение, плюс не выкладывать файлы по ссылке на облачный диск, если об этом не просят консультанты. Читать тему могут все, без возможности открывать вложенные файлы.

+

проверьте ЛС.

Изменено 17 сентября пользователем safety

[nonamevit]

прикрепляю файлы 

Addition.txt FRST.txt virus.zip

[safety]

Если систему сканировали штатным антивирусом, или Cureit, или KVRT, добавьте, пожалуйста логи сканирования в архиве, без пароля, если большой размер, то по ссылке на облачный диск.

[nonamevit]

4 часа назад, safety сказал:

сканировали штатным антивирусом, или Cureit, или KVRT, добавьте, пожалуйста логи сканирования в архиве

 

еще не сканировали, если да то каким лучше просканить?

 

Cureit пустой, ничего не обнаружено 

 

или как им сканировать правильно?

[safety]

Если не нашел, значит не нашел, возможно что сэмпл самоудалился после завершения шифрования.

 

[nonamevit]

3 минуты назад, safety сказал:

Если не нашел, значит не нашел, возможно что сэмпл самоудалился после завершения шифрования.

 

ну а те файлы есть возможность расшифровать? 
вообще что за шифратор был и откуда ноги растут?

[safety]

7 минут назад, nonamevit сказал:

вообще что за шифратор был и откуда ноги растут?

Это Proxima, и по данному типу, к сожалению, расшифровка невозможна без приватного ключа. + проверьте ЛС.

Изменено 17 сентября пользователем safety

[nonamevit]

1 час назад, safety сказал:

Это Proxima, и по данному типу, к сожалению, расшифровка невозможна без приватного ключа. + проверьте ЛС.

 

т.е. те козлы должны дать приватный ключ?