Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Шифровальщик id[00F2B780-3351].[qqtiq@tuta.io].deep

Justbox
 Поделиться

Рекомендуемые сообщения

Justbox

Justbox

Опубликовано
Опубликовано

Добрый день!

Найден шифровальщик 

зашифровал файлы под именем имя_файла.id[00F2B780-3351].[qqtiq@tuta.io]

 

примеры зашифрованных файлов.rar с файлом info.txt

 

Определить Шифровальщик не получается, в связи с чем невозможно определить существует ли дешифровщик к нему.

Нужна помощь! 

 

примеры зашифрованных файлов.rar

safety

safety

Опубликовано
Опубликовано (изменено)

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу с перезагрузкой системы. 

Start::
(explorer.exe ->) () [Файл не подписан] C:\Users\sysadmin\AppData\Local\Fast.exe <2>
HKLM\...\Run: [Fast] => C:\Users\sysadmin\AppData\Local\Fast.exe [57344 2024-01-17] () [Файл не подписан]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3315746679-2371734878-1424945386-1024\...\Run: [Fast] => C:\Users\sysadmin\AppData\Local\Fast.exe [57344 2024-01-17] () [Файл не подписан]
Startup: C:\Users\sysadmin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe [2024-01-17] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe [2024-01-17] () [Файл не подписан]
2024-09-03 21:13 - 2024-09-20 11:26 - 000005518 _____ C:\Users\sysadmin\Desktop\info.hta
2024-09-03 21:13 - 2024-09-20 11:26 - 000005518 _____ C:\Users\Public\Desktop\info.hta
2024-09-03 21:13 - 2024-09-20 11:26 - 000000160 _____ C:\Users\sysadmin\Desktop\info.txt
2024-09-03 21:13 - 2024-09-20 11:26 - 000000160 _____ C:\Users\Public\Desktop\info.txt
2024-09-03 21:13 - 2024-09-03 21:13 - 000005518 _____ C:\info.hta
2024-09-03 21:13 - 2024-09-03 21:13 - 000000160 _____ C:\info.txt
2024-09-03 18:31 - 2024-09-03 21:08 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-09-03 18:31 - 2024-09-03 21:04 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-09-03 18:31 - 2024-09-03 18:31 - 000000000 ____D C:\Users\sysadmin\AppData\Roaming\Process Hacker 2
2024-09-03 18:30 - 2024-01-17 13:59 - 000057344 _____ C:\Users\sysadmin\AppData\Local\Fast.exe
2024-09-03 18:30 - 2024-01-17 13:59 - 000057344 _____ () C:\Users\sysadmin\AppData\Local\Fast.exe
2024-09-03 18:30 - 2024-01-17 13:59 - 000057344 _____ C:\Users\sysadmin\AppData\Local\Fast.exe

Reboot:
End::

после перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.

Изменено пользователем safety
Justbox

Justbox

Опубликовано
  • Автор
Опубликовано (изменено)
14 часов назад, safety сказал:

Выполните скрипт очистки в FRST

 


Как выполнить скрипт очистки ?

 

Fixlog.txt

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)
10 часов назад, Justbox сказал:

Как выполнить скрипт очистки ?

Так понимаю, скрипт выполнен, если появился карантин.

 

Судя по логу Fixlog.txt очистка прошла успешно.

 

По расшифровке файлов не сможем помочь по данному типу шифровальщика  без приватного ключа.

сэмпл шифровальщика давно детектируется антивирусами, если установлены антивирусы, проверяем обновляет ли он базы или нет.

ESET-NOD32 A Variant Of Win32/Filecoder.Phobos.C

Kaspersky HEUR:Trojan-Ransom.Win32.Phobos.vho

DrWeb Trojan.Encoder.31543

https://www.virustotal.com/gui/file/d5a94f0476a1eb6f37e8e9004673d5845dfec0c74792170056703cae7f925dba

+

проверьте ЛС

 

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Alexander Seregin
      Зашифрованы файлы nury_espitia@tuta.io
      Автор Alexander Seregin
      Заразились все физические компьютеры с работающим RDP
      virus.zipinfo.txtфайлы.zip
    • Sholpan
      зашифровали весь компьютер, ghost@mm.st, phobos
      Автор Sholpan
      Добрый день, зашифровали весь компьютер, все файлы. Оплатил в BC 1080USD - вначале просили 1200USD, дали скидку 10%. 
       
      После оплаты пропали на 24 часа, и потом вышли на связь выслали декриптор phobos 
      "Good afternoon. Sorry there were technical problems. Download the program, press the "SCAN" button, send the received code to us." 
      ph_decrypt
      Отправил код
      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
       
       
      Теперь снова тишина, 3 суток. 
      Не знаю, что делать, ждать или уже искать другие пути, если, конечно, они они есть
       
      Приложение
    • avotovich
      Атаковали шифровальщиком
      Автор avotovich
      не получается найти дешифровщика на "idB8A66682_3349_johnhelper123" вот такое вот чудо прилагаю ссылку на файл который можно потестировать
    • Dalex
      Поймали вирус-шифровальщик
      Автор Dalex
      Поймали вирус-шифровальщик, прошу FRST.txtпомочь с расшифровкой файлов.
      info.zip Addition.txt
    • itadler
      Помогите с шифровальщиком
      Автор itadler
      FRST.txtLicData2.txt.id[FC9CD4F7-3426].[decrypt@techie.com].zipAddition.txt
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь   
×
×
  • Создать...