Перейти к содержанию

Шифровальщик id[00F2B780-3351].[qqtiq@tuta.io].deep


Рекомендуемые сообщения

Добрый день!

Найден шифровальщик 

зашифровал файлы под именем имя_файла.id[00F2B780-3351].[qqtiq@tuta.io]

 

примеры зашифрованных файлов.rar с файлом info.txt

 

Определить Шифровальщик не получается, в связи с чем невозможно определить существует ли дешифровщик к нему.

Нужна помощь! 

 

примеры зашифрованных файлов.rarПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу с перезагрузкой системы.

Start::
(explorer.exe ->) () [Файл не подписан] C:\Users\sysadmin\AppData\Local\Fast.exe <2>
HKLM\...\Run: [Fast] => C:\Users\sysadmin\AppData\Local\Fast.exe [57344 2024-01-17] () [Файл не подписан]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3315746679-2371734878-1424945386-1024\...\Run: [Fast] => C:\Users\sysadmin\AppData\Local\Fast.exe [57344 2024-01-17] () [Файл не подписан]
Startup: C:\Users\sysadmin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe [2024-01-17] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe [2024-01-17] () [Файл не подписан]
2024-09-03 21:13 - 2024-09-20 11:26 - 000005518 _____ C:\Users\sysadmin\Desktop\info.hta
2024-09-03 21:13 - 2024-09-20 11:26 - 000005518 _____ C:\Users\Public\Desktop\info.hta
2024-09-03 21:13 - 2024-09-20 11:26 - 000000160 _____ C:\Users\sysadmin\Desktop\info.txt
2024-09-03 21:13 - 2024-09-20 11:26 - 000000160 _____ C:\Users\Public\Desktop\info.txt
2024-09-03 21:13 - 2024-09-03 21:13 - 000005518 _____ C:\info.hta
2024-09-03 21:13 - 2024-09-03 21:13 - 000000160 _____ C:\info.txt
2024-09-03 18:31 - 2024-09-03 21:08 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-09-03 18:31 - 2024-09-03 21:04 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-09-03 18:31 - 2024-09-03 18:31 - 000000000 ____D C:\Users\sysadmin\AppData\Roaming\Process Hacker 2
2024-09-03 18:30 - 2024-01-17 13:59 - 000057344 _____ C:\Users\sysadmin\AppData\Local\Fast.exe
2024-09-03 18:30 - 2024-01-17 13:59 - 000057344 _____ () C:\Users\sysadmin\AppData\Local\Fast.exe
2024-09-03 18:30 - 2024-01-17 13:59 - 000057344 _____ C:\Users\sysadmin\AppData\Local\Fast.exe

Reboot:
End::

после перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

  В 20.09.2024 в 10:40, safety сказал:

Выполните скрипт очистки в FRST

 

Показать  


Как выполнить скрипт очистки ?

 

Fixlog.txtПолучение информации...

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

  В 20.09.2024 в 15:01, Justbox сказал:

Как выполнить скрипт очистки ?

Показать  

Так понимаю, скрипт выполнен, если появился карантин.

 

Судя по логу Fixlog.txt очистка прошла успешно.

 

По расшифровке файлов не сможем помочь по данному типу шифровальщика  без приватного ключа.

сэмпл шифровальщика давно детектируется антивирусами, если установлены антивирусы, проверяем обновляет ли он базы или нет.

ESET-NOD32 A Variant Of Win32/Filecoder.Phobos.C

Kaspersky HEUR:Trojan-Ransom.Win32.Phobos.vho

DrWeb Trojan.Encoder.31543

https://www.virustotal.com/gui/file/d5a94f0476a1eb6f37e8e9004673d5845dfec0c74792170056703cae7f925dba

+

проверьте ЛС

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KOMK
      Автор KOMK
      Доброго времени суток.
      Поймали шифровальщик.Атакована вся организация. Выясняем источник откуда и как,но раскидался он по рдп на как минимум 7 рабочих мест, включая серв  АД и 1С. Так же на одном из предполагаемых источников заражения была обнаружена программа Everything API и крипто-программа КАРМА,мб оно как-то даст какую-то полезность?
      А так же папка с файлами именованная как "automim1"?
      Скажите вообще есть ли надежда что как-то можно найти остатки шифровальщика? Шифрованные файлы и файл записку прилагаю в архиве с паролем "virus":
      Остальное не знаю как добавить,вес больше 5мб получается.
       
      sekr_2.7z
    • Сергей Клюхинов
      Автор Сергей Клюхинов
      зашифрованы файлы
      по признакам с https://id-ransomware.blogspot.com/2022/10/criptomangizmo-ransomware.html это  CriptomanGizmo
      Крнтакты вымогателей:
      scatterink@mailfence.com 
      keepsecrets@tutanota.de
       
      cFTZZMrfx.README.txt files.zip
       
      Сообщение от модератора thyrex Перенесено из темы
    • Игорь_Белов
      Автор Игорь_Белов
      Доброго времени суток. 
      Прошу помощи, словил вирус шифровальщик, недавно созданный сервер для теста 1с, поймал вирус, файлы баз данных зашифровались. 
      Прошу помочь в определение вируса, по возможности расшифровать. И как его побороть.
       
      scan.zip
    • __Михаил__
      Автор __Михаил__
      Добрый! 
      Пожалуйста, помогите расшифровать файлы на компьютере.
      Шифровальщик IxehUe8Rg.
      Файлы образцы и требование выкупа во вложении.
      Анализ_2.xlsx.rar
       
      Я так понимаю это CriptomanGizmo и с ним проблема.
      У меня есть несколько копий файлов не зашифрованных , с другого устройства.
      Может это поможет?
    • Stanislav42
      Автор Stanislav42
      Добрый день! Пострадало несколько windows-устройств от действий шифровальщика и вымогает за расшифровку деньги.
      Прошу оказать помощь в расшифровке файлов.
      Отправляю архив с образцами файлов и с текстом требований, а также логи FRST.
      Шифрование произошло в ночное время. Журнал событий Windows очищен. Устройства перезагружались.
      Системы изолированы на данный момент. Исполняемый файл найден и подготовлен к отправке. 
      образцы файлов.zip Addition.txt FRST.txt
×
×
  • Создать...