Перейти к содержанию

Шифровальщик cyberfear

WhySpice
 Поделиться

Рекомендуемые сообщения

WhySpice

WhySpice

Опубликовано
  • Автор
Опубликовано
4 минуты назад, safety сказал:

такой ответ:

Данный процесс является служебным и, скорее всего, какое-то сторонее приложение обращается к нему и загружает ваш процессор.

Сделайте новые логи FRST посмотрим сто там сейчас после очистки

Запустил сканирование. А с зашифрованными файлами получается, что все... их уже не спасти?

  • Ответов 34
  • Создана
  • Последний ответ

Топ авторов темы

  • safety

    17

  • WhySpice

    17

  • Mark D. Pearlstone

    1

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

Mark D. Pearlstone
Mark D. Pearlstone

Строгое предупреждение от модератора Mark D. Pearlstone Это мошенники. Не общайтесь с ними. Читайте правила, кто может писать и помогать в данном разделе.

Изображения в теме

Mark D. Pearlstone

Mark D. Pearlstone

Опубликовано
Опубликовано
6 минут назад, WhySpice сказал:

написал

Строгое предупреждение от модератора Mark D. Pearlstone

Это мошенники. Не общайтесь с ними. Читайте правила, кто может писать и помогать в данном разделе.

  • Like (+1) 1
WhySpice

WhySpice

Опубликовано
  • Автор
Опубликовано
2 минуты назад, Mark D. Pearlstone сказал:
Строгое предупреждение от модератора Mark D. Pearlstone

Это мошенники. Не общайтесь с ними.

ну, мне интересно, сколько они предложат за "расшифровку" :)
 

safety

safety

Опубликовано
Опубликовано
1 минуту назад, WhySpice сказал:

ну, мне интересно, сколько они предложат за "расшифровку" :)

Еще раз предупреждаем - без приватных ключей расшифровка в Mimic невозможна.

обратите внимание, что здесь кругами ходят посредники или мошенники, а может и злоумышленники, которые предлагают помочь с расшифровкой. В лучшем случае они это сделают за выкуп дешифратора, в худшем ( и таких примеров уже достаточно для mimic) либо вообще исчезнут из общения после получения оплаты, либо пришлют нерабочий дешифратор.

+

детали подобных разговоров здесь не надо публиковать.

  • safety закрыл тема
  • safety открыл тема
safety

safety

Опубликовано
Опубликовано (изменено)

По новым логам FRST:

Уже лучше:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\...\Run: [datastorecyberfearcom.exe] => notepad.exe "C:\Users\WHYSPICE-SERVER\AppData\Local\README.txt" (Нет файла)
HKLM\...\Policies\system: [legalnoticetext]                                                           Happynewyear!
IFEO\1cv8.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\1cv8c.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\1cv8s.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\agntsvc.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\AutodeskDesktopApp.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\axlbridge.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\bedbh.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\benetns.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\bengien.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\beserver.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\CoreSync.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\Creative Cloud.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\dbeng50.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\dbsnmp.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\encsvc.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\EnterpriseClient.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\fbguard.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\fbserver.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\fdhost.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\fdlauncher.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\httpd.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\isqlplussvc.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\java.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\msaccess.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\MsDtSrvr.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\msftesql.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\mspub.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\mydesktopqos.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\mydesktopservice.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\mysqld-nt.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\mysqld-opt.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\mysqld.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\node.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\ocautoupds.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\ocomm.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\ocssd.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\oracle.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\pvlsvr.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\python.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\QBDBMgr.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\QBDBMgrN.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\QBIDPService.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\qbupdate.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\QBW32.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\QBW64.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\Raccine.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\RaccineElevatedCfg.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\RaccineSettings.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\Raccine_x86.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\RAgui.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\raw_agent_svc.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\SimplyConnectionManager.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sqbcoreservice.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sql.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sqlagent.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sqlbrowser.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sqlmangr.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sqlservr.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sqlwriter.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\Ssms.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\Sysmon.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\Sysmon64.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\tbirdconfig.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\tomcat6.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\vsnapvss.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\vxmon.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\wdswfsafe.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\wpython.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\wsa_service.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\wxServer.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\wxServerView.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\xfssvccon.exe: [Debugger] C:\windows\System32\Systray.exe
2025-01-06 16:10 - 2025-01-06 16:10 - 000000352 _____ C:\README.txt
2025-01-06 16:10 - 2025-01-06 16:10 - 000000000 ____D C:\Users\WHYSPICE-SERVER\AppData\Local\D1708A0A-683E-BE80-41AD-E3EC3C116A23
2025-01-06 16:09 - 2025-01-06 16:09 - 000000069 _____ C:\Users\WHYSPICE-SERVER\Desktop\123.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано
1 час назад, WhySpice сказал:

Сейчас еще KVRT досканирует, отчет пришлю

Добавьте так же отчеты KVRT

safety

safety

Опубликовано
Опубликовано (изменено)

Вообще, судя по записке о выкупе и session.tmp у вас довольно странный ключ шифрования. Экспериментируете с сэмплом?

image.png

Изменено пользователем safety
WhySpice

WhySpice

Опубликовано
  • Автор
Опубликовано
Только что, safety сказал:

Вообще, судя по записке о выкупе и session.tmp у вас довольно странный ключ шифрования. Экспериментируете с сэмплом?

Нет, вообще ничего не делал :)

safety

safety

Опубликовано
Опубликовано (изменено)

Добавьте тогда еще раз новые логи FRST после последней очистки.

+

этот файл должен быть в папке карантина: 

C:\Users\WHYSPICE-SERVER\Desktop\123.txt

Может вы тогда и расшифровать сможете то что было зашифровано таким ключом. :)

Это сессионный ключ:

image.png

Изменено пользователем safety
WhySpice

WhySpice

Опубликовано
  • Автор
Опубликовано
10 минут назад, safety сказал:

Добавьте тогда еще раз новые логи FRST после последней очистки.

Может вы тогда и расшифровать сможете то что было зашифровано таким ключом. :)

Это сессионный ключ:

image.png

 

Addition.txt FRST.txt

safety

safety

Опубликовано
Опубликовано (изменено)

+

2025-01-06 15:16 - 2025-01-06 15:16 - 000000000 ____D C:\KVRT2020_Data

в этой папке есть каталог с отчетами, добавьте пожалуйста файлв из каталога отчетов

+

этот файл должен быть в папке карантина: 

C:\Users\WHYSPICE-SERVER\Desktop\123.txt
Изменено пользователем safety
WhySpice

WhySpice

Опубликовано
  • Автор
Опубликовано
6 минут назад, safety сказал:

+

2025-01-06 15:16 - 2025-01-06 15:16 - 000000000 ____D C:\KVRT2020_Data

в этой папке есть каталог с отчетами, добавьте пожалуйста файлв из каталога отчетов

+

этот файл должен быть в папке карантина: 

C:\Users\WHYSPICE-SERVER\Desktop\123.txt

https://disk.yandex.ru/d/FcLxLY8_Er1aQA -  KVRT

123.txt - я создавал с ссылкой на данный топик

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • valkovaleksandr
      Шифровальщик cyberfear
      Автор valkovaleksandr
      Добрый день! Просьба помочь с  Шифровальщик cyberfear.
      Вот такая фигня вылазит при открытии текстовиков:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted
      Your personal ID: *****sJm4WtmxxeX8*datastore@cyberfear.com
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us to this e-mail: datastore@cyberfear.com
      In case of no answer in 24 hours write us to this backup e-mail: back2up@swismail.com
      Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
      Contact us soon, because those who don't have their data leaked in our press release blog and the price they'll have to pay will go up significantly.
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
      FRST.txt Addition.txt README_SOLVETHIS.txt Привет.docx Текстовый документ.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • fastheel
      Шифровальщик
      Автор fastheel
      Зашифровали сервер , сам вирус был пойман ( есть файл) и есть флаг с которым он был запущен

      update.exe   -pass e32fae18c0e1de24277c14ab0359c1b7
      Addition.txt FRST.txt u4IHZAluh.README.txt Desktop.zip
    • KOHb39
      Шифровальщик blackFL
      Автор KOHb39
      Словили этот злополучный шифровальщик.
      На одной машине удалось изолировать его ехе файл судя по дате создания, файл гулял по ПК в сети.
      Может ли это как-то помочь в расшифровке? Кому передать и каким способом?
    • Влад1810
      Шифровальщик blackFL
      Автор Влад1810
      Аналогично зашифровало, нужна помощьНовая папка.7z
      BlackField_ReadMe.txt
    • Restinn
      Шифровальщик blackFL
      Автор Restinn
      Добрый день. Помогите в расшифровке. Ночью 06.08 все зашифровал и все. В инете никакой инфы нет
      Касперский не был установлен
      Прикрепил файлы и текстовый док 
      Новая папка.rar BlackField_ReadMe.txt
×
×
  • Создать...