risen шифратор jinxishere@onionmail.org

[organism]

в выходные зашифровались все файлы, включая 1с
установленный касперский больше не работает
прилагаю образцы файлов и  сообщение от вируса
пароль архива 32768

эквилибриум.zip

[safety]

Добавьте так же необходимые логи (FRST) с зашифрованного устройства, согласно правилам.

«Порядок оформления запроса о помощи».

[organism]

прилагаю файлы

pack.zip

[safety]

Эти четыре файла заархивируйте с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

2024-10-26 23:42 - 2024-06-09 01:54 - 000088576 ____H C:\Risen.exe
2024-10-26 23:39 - 2024-09-14 15:34 - 012150434 ____H C:\dist.exe

2024-10-26 23:42 - 2024-10-26 23:45 - 043406196 _____ C:\RisenLogs.txt

2024-10-26 23:39 - 2024-10-27 14:51 - 000000000 ____D C:\client_configs

 

 

 

Изменено 29 октября пользователем safety

[organism]

отправил

[safety]

по файлам:

risen.exe

ESET-NOD32 A Variant Of Win32/Filecoder.BlackHunt.B

https://www.virustotal.com/gui/file/845d8fdc84da1bac1467c49cbae6a14029113a6cdc573729879c7995c10e6bcc

dist.exe

Kaspersky Trojan.Win32.Fsysna.jycc

https://www.virustotal.com/gui/file/0f2690720b5166d65fa868f2cbce047d32f57987a9bc1fb142f475f6b555e99b?nocache=1

[safety]

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] WELCOME  
HKLM\...\Policies\system: [legalnoticetext]  We have penetrated your whole network due some critical security issues.  We have encrypted all files on each
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2024-10-26 23:42 - 2024-10-26 23:42 - 000007959 _____ C:\ProgramData\$Risen_Guide.hta
2024-10-26 23:42 - 2024-10-26 23:42 - 000007959 _____ C:\$Risen_Guide.hta
2024-10-26 23:42 - 2024-10-26 23:42 - 000001525 _____ C:\ProgramData\$Risen_Note.txt
2024-10-26 23:42 - 2024-10-26 23:42 - 000001525 _____ C:\$Risen_Note.txt
2024-10-26 23:42 - 2024-10-26 23:42 - 000001280 _____ C:\ProgramData\$Risen[5T6T936JP4].Private
2024-10-26 23:42 - 2024-10-26 23:42 - 000001280 _____ C:\$Risen[5T6T936JP4].Private
2024-10-26 23:42 - 2024-10-26 23:42 - 000000276 _____ C:\ProgramData\$Risen[5T6T936JP4].Public
2024-10-26 23:42 - 2024-10-26 23:42 - 000000020 _____ C:\ProgramData\Risen_ID.txt
2024-10-26 23:42 - 2024-06-09 01:54 - 000088576 ____H C:\Risen.exe
2024-10-26 23:39 - 2024-09-14 15:34 - 012150434 ____H C:\dist.exe
End::

Далее,

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку в ЛС.

[organism]

15 часов назад, safety сказал:

 

подготовлю
а то, что есть и private и public файлы не поможет?

Изменено 31 октября пользователем safety
не надо лишнего цитирования, просто пишите ответ

[safety]

Скорее всего нет.

Как правило своим публичным ключом злоумышленники шифруют ваш сессионный приватный ключ, который необходим для расшифрования файлов, Чтобы расшифровать сессионный приватный ключ, необходим приватный ключ из пары, которая создана на стороне злоумышленников. И понятно, что этот приватный ключ есть только у них.

[organism]

карантин в лс, фикслог тут

Fixlog.txt

файлы private и public важны?

[safety]

51 минуту назад, organism сказал:

файлы private и public важны?

Я думаю, эти файлы важны в том случае, если будет возможной расшифровка.

Сохраните данные файлы, а так же важные зашифрованные  файлы на отдельный носитель.

Пока ее нет по данному типу шифровальщика.