Перейти к содержанию

Шифровальщик id[00F2B780-3351].[qqtiq@tuta.io].deep


Рекомендуемые сообщения

Добрый день!

Найден шифровальщик 

зашифровал файлы под именем имя_файла.id[00F2B780-3351].[qqtiq@tuta.io]

 

примеры зашифрованных файлов.rar с файлом info.txt

 

Определить Шифровальщик не получается, в связи с чем невозможно определить существует ли дешифровщик к нему.

Нужна помощь! 

 

примеры зашифрованных файлов.rar

Ссылка на сообщение
Поделиться на другие сайты

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу с перезагрузкой системы.

Start::
(explorer.exe ->) () [Файл не подписан] C:\Users\sysadmin\AppData\Local\Fast.exe <2>
HKLM\...\Run: [Fast] => C:\Users\sysadmin\AppData\Local\Fast.exe [57344 2024-01-17] () [Файл не подписан]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3315746679-2371734878-1424945386-1024\...\Run: [Fast] => C:\Users\sysadmin\AppData\Local\Fast.exe [57344 2024-01-17] () [Файл не подписан]
Startup: C:\Users\sysadmin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe [2024-01-17] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe [2024-01-17] () [Файл не подписан]
2024-09-03 21:13 - 2024-09-20 11:26 - 000005518 _____ C:\Users\sysadmin\Desktop\info.hta
2024-09-03 21:13 - 2024-09-20 11:26 - 000005518 _____ C:\Users\Public\Desktop\info.hta
2024-09-03 21:13 - 2024-09-20 11:26 - 000000160 _____ C:\Users\sysadmin\Desktop\info.txt
2024-09-03 21:13 - 2024-09-20 11:26 - 000000160 _____ C:\Users\Public\Desktop\info.txt
2024-09-03 21:13 - 2024-09-03 21:13 - 000005518 _____ C:\info.hta
2024-09-03 21:13 - 2024-09-03 21:13 - 000000160 _____ C:\info.txt
2024-09-03 18:31 - 2024-09-03 21:08 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-09-03 18:31 - 2024-09-03 21:04 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-09-03 18:31 - 2024-09-03 18:31 - 000000000 ____D C:\Users\sysadmin\AppData\Roaming\Process Hacker 2
2024-09-03 18:30 - 2024-01-17 13:59 - 000057344 _____ C:\Users\sysadmin\AppData\Local\Fast.exe
2024-09-03 18:30 - 2024-01-17 13:59 - 000057344 _____ () C:\Users\sysadmin\AppData\Local\Fast.exe
2024-09-03 18:30 - 2024-01-17 13:59 - 000057344 _____ C:\Users\sysadmin\AppData\Local\Fast.exe

Reboot:
End::

после перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
14 часов назад, safety сказал:

Выполните скрипт очистки в FRST

 


Как выполнить скрипт очистки ?

 

Fixlog.txt

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
10 часов назад, Justbox сказал:

Как выполнить скрипт очистки ?

Так понимаю, скрипт выполнен, если появился карантин.

 

Судя по логу Fixlog.txt очистка прошла успешно.

 

По расшифровке файлов не сможем помочь по данному типу шифровальщика  без приватного ключа.

сэмпл шифровальщика давно детектируется антивирусами, если установлены антивирусы, проверяем обновляет ли он базы или нет.

ESET-NOD32 A Variant Of Win32/Filecoder.Phobos.C

Kaspersky HEUR:Trojan-Ransom.Win32.Phobos.vho

DrWeb Trojan.Encoder.31543

https://www.virustotal.com/gui/file/d5a94f0476a1eb6f37e8e9004673d5845dfec0c74792170056703cae7f925dba

+

проверьте ЛС

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • LamerMan
      От LamerMan
      Здравствуйте, 04.10.2022 на комп попал вирус-шифровальщик Elbie Ransomware, все файлы стали с расширением .lnk.id[E2638681-3398].[helprequest@techmail.info].Elbie
      Обратились в компанию по расшифровке, сказали цену 250 тыс. рублей. Сотрудник подключился удаленно и просканировал систему, оставив за собой софт(приложу во вложения)
      На момент заражения был открыт порт 3389 и настроено рдп с несложными паролями, на компе стоял Kaspersky Free (AVP21.3), есть предположение, что злоумышленник ботнетом пинговал айпишники с к классическими портами, затем забрутфорсил пароль
      Программа сотрудника аутсорс компании сканирует файлы, а затем выдает какой-то код, я так и не разобрался что с ним делать, он сказал что этим кодом пишется дешифратор. Так же там есть .exe программа, в которой ей кнопка decrypt, но она требует какой-то ключ, надеюсь, найдется человек, который сможет с этим разобраться
      Elbie Decrypt.zip
    • Anton S
      От Anton S
      Добрый день.
      С 4:00 22.07.24 зашифровало все данные на ПК и ещё несколько по сети. Злоумышленник после оплаты пропал... Хотя и прислал "PHOBOS decryption tool", но без ключей, видимо попался мошенник. Удалось запустить Касперского нашёл "HEUR:Trojan-Ransom.Win32.Generic" в нескольких местах. 
      x-decrypt@worker.com.rar FRST.txt Addition.txt
    • PvC
      От PvC
      Здравствуйте. Требуется помощь по расшифровке.
      Тип шифровальщика - id[EA15627C-3531].[Accord77777@aol.com].faust
      Addition.txt FRST.txt Образцы.zip
    • Ak.512
      От Ak.512
      Здравствуйте!

      Большая часть инфраструктуры была атакована шифровальщиком-вымогателем, прикладываем файлы диагностики по инструкции.Addition.txtОбразцы.rarinfo.txtFRST.txt
      Предварительно атака началась в 23:00 14.07.2024, однако примерное направление пока не выяснили.

       
    • DDreal
      От DDreal
      добрый день, существует ли на сегодня расшифровка данного типа вируса.
      id[66AE5CCB-3531].[Accord77777@aol.com].faust 
      есть сам вирус есть зашифрованный файл есть так же расшифрованный
       
       
×
×
  • Создать...