Перейти к содержанию

Шифровальщик id[00F2B780-3351].[qqtiq@tuta.io].deep

Justbox
 Share

Рекомендуемые сообщения

Justbox Новичок

Justbox

Опубликовано
Опубликовано

Добрый день!

Найден шифровальщик 

зашифровал файлы под именем имя_файла.id[00F2B780-3351].[qqtiq@tuta.io]

 

примеры зашифрованных файлов.rar с файлом info.txt

 

Определить Шифровальщик не получается, в связи с чем невозможно определить существует ли дешифровщик к нему.

Нужна помощь! 

 

примеры зашифрованных файлов.rar

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу с перезагрузкой системы. 

Start::
(explorer.exe ->) () [Файл не подписан] C:\Users\sysadmin\AppData\Local\Fast.exe <2>
HKLM\...\Run: [Fast] => C:\Users\sysadmin\AppData\Local\Fast.exe [57344 2024-01-17] () [Файл не подписан]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3315746679-2371734878-1424945386-1024\...\Run: [Fast] => C:\Users\sysadmin\AppData\Local\Fast.exe [57344 2024-01-17] () [Файл не подписан]
Startup: C:\Users\sysadmin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe [2024-01-17] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe [2024-01-17] () [Файл не подписан]
2024-09-03 21:13 - 2024-09-20 11:26 - 000005518 _____ C:\Users\sysadmin\Desktop\info.hta
2024-09-03 21:13 - 2024-09-20 11:26 - 000005518 _____ C:\Users\Public\Desktop\info.hta
2024-09-03 21:13 - 2024-09-20 11:26 - 000000160 _____ C:\Users\sysadmin\Desktop\info.txt
2024-09-03 21:13 - 2024-09-20 11:26 - 000000160 _____ C:\Users\Public\Desktop\info.txt
2024-09-03 21:13 - 2024-09-03 21:13 - 000005518 _____ C:\info.hta
2024-09-03 21:13 - 2024-09-03 21:13 - 000000160 _____ C:\info.txt
2024-09-03 18:31 - 2024-09-03 21:08 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-09-03 18:31 - 2024-09-03 21:04 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-09-03 18:31 - 2024-09-03 18:31 - 000000000 ____D C:\Users\sysadmin\AppData\Roaming\Process Hacker 2
2024-09-03 18:30 - 2024-01-17 13:59 - 000057344 _____ C:\Users\sysadmin\AppData\Local\Fast.exe
2024-09-03 18:30 - 2024-01-17 13:59 - 000057344 _____ () C:\Users\sysadmin\AppData\Local\Fast.exe
2024-09-03 18:30 - 2024-01-17 13:59 - 000057344 _____ C:\Users\sysadmin\AppData\Local\Fast.exe

Reboot:
End::

после перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Justbox Новичок

Justbox

Опубликовано
  • Автор
Опубликовано (изменено)
14 часов назад, safety сказал:

Выполните скрипт очистки в FRST

 


Как выполнить скрипт очистки ?

 

Fixlog.txt

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)
10 часов назад, Justbox сказал:

Как выполнить скрипт очистки ?

Так понимаю, скрипт выполнен, если появился карантин.

 

Судя по логу Fixlog.txt очистка прошла успешно.

 

По расшифровке файлов не сможем помочь по данному типу шифровальщика  без приватного ключа.

сэмпл шифровальщика давно детектируется антивирусами, если установлены антивирусы, проверяем обновляет ли он базы или нет.

ESET-NOD32 A Variant Of Win32/Filecoder.Phobos.C

Kaspersky HEUR:Trojan-Ransom.Win32.Phobos.vho

DrWeb Trojan.Encoder.31543

https://www.virustotal.com/gui/file/d5a94f0476a1eb6f37e8e9004673d5845dfec0c74792170056703cae7f925dba

+

проверьте ЛС

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • arx
      Шифровальщик ELPACO-team el_kurva@tuta.io
      От arx
      Доброго времени суток. Поймали шифровальщика, зашифрованы документы, архивы, базы 1с. Система стала работать не корректно, не открываются приложения обычным способом, только от имени администратора. Взлом произошел путем подбора пароля к RDP, затем применили эксплоит, запустили CMD от админа и создали новую учетку с которой произошло шифрование. Есть скриншоты действий злоумышленников так же прилагаю. Прошу помощи по восстановлению работы системы и по возможности расшифровки файлов.
      Addition.txt FRST.txt Требования.txt Скрины.rar
    • Anastas Dzhabbarov
      шифровальщик Doubleoffset tapok@tuta.io
      От Anastas Dzhabbarov
      Здравствуйте! Шифровальщик зашифровал файлы на сервере. Возможно вы поможете  восстановить их? 
      FRST.txt Addition.txt
    • Arudin
      шифровальщик / qqtiq@tuta.io / *.deep
      От Arudin
      Доброго дня. Зашифровали файлы.
       
      Зашифрованные данные были сразу удалены. Перезаписей на диск не было. Впоследствии восстановлены с помощью Recuva.
       
      восстановленный файл с вирусом fast.rar (во вложении с положенным паролем)/
       
      оставлен файл от злоумышленников info.txt (во вложении).
       
      архив с парой заражённых файлов files.rar (во вложении).
       
      Утилиту Farbar Recovery Scan Tool запускал на ранее заражённой ОС после переустановки ОС.
       
      Fast.rar files.rar info.txt Addition.txt FRST.txt
    • KL FC Bot
      Deep-TEMPEST: перехват изображения через HDMI | Блог Касперского
      От KL FC Bot
      Благодаря ученым из Республиканского университета Уругвая мы теперь гораздо лучше понимаем, как можно восстанавливать изображение из паразитного радиошума, испускаемого мониторами. Если быть более точным, то из наводок от передачи данных через разъемы и кабели цифрового интерфейса HDMI. Используя современные алгоритмы машинного обучения, уругвайские исследователи показали, как из такого радиошума можно реконструировать текст, выводимый на внешний монитор.
      А что, раньше было нельзя?
      Разумеется, это не первая попытка атаки по сторонним каналам, цель которой восстановить изображение по паразитному излучению. Перехват радиошума от дисплея в соседнем помещении, также известный как подвид TEMPEST-атаки, был описан в исследовании, которое вышло в 1985 году. Уже тогда нидерландский исследователь Вим ван Эйк продемонстрировал, что можно перехватить сигнал с монитора, установленного неподалеку. В статье про родственную атаку EM Eye мы подробно рассказывали об этих исторических работах, поэтому не будем повторяться.
      Проблема в том, что ван Эйк проделал это с монитором сорокалетней давности, с электронно-лучевой трубкой и аналоговым методом передачи данных. Да и перехватываемое изображение тогда было простым для анализа, с белыми буквами на черном фоне без графики. В современных условиях, с цифровым интерфейсом HDMI, перехватить, а главное, восстановить данные значительно сложнее. Но именно это и проделали уругвайские ученые.
       
      View the full article
    • WL787878
      Шифровальщик
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
×
×
  • Создать...