Перейти к содержанию

biobiorans шифровальщик- возможна ли раскодировка файлов


Рекомендуемые сообщения

Словили шифровальщика. Файлы на сетевой шаре  закодированы и в названия имеют такой вид  ******** .xlsx.EMAIL=[biobiorans@gmail.com]ID=[****************]

 кто то сталкивался  с такой проблемой ?  ЧТО за вирус ( его название). Может быть имеется опыт по дешифровке?

 

111.rar

Ссылка на комментарий
Поделиться на другие сайты

Добавьте записку о выкупе,

+

Добавьте логи анализа системы при помощи Farbar Recovery Scan Tool.

6 часов назад, DIM_ZIM сказал:

Файлы на сетевой шаре  закодированы

Если зашифрованы файлы только на сетевой шаре, значит надо искать устройство, на котором был запуск шифровальщика. Логт FRST нужно делать именно на этом ПК, где был запуск.

 

Возможно, это Enmity, но необходимы логи для уточнения типа и записка о выкупе.

Точнее, это Proxima/BTC-azadi.

image.png

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Добрый день предположительно атака была с WIN7, логи сняты  с него во вложении  так же во вложении текст сообщения.

Есть возможность сравнить файлы в исходном состоянии и закодированные ( возможно декодирование в этом случае более успешное)

LOG_text.rar

Ссылка на комментарий
Поделиться на другие сайты

по очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
Startup: C:\Users\Анюта\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AdobeUpdater.lnk [2012-02-12] <==== ВНИМАНИЕ
ShortcutAndArgument: AdobeUpdater.lnk -> C:\Windows\System32\cmd.exe =>  /c copy "C:\Users\E620~1\AppData\Local\Temp\h1" "C:\windows\system32\drivers\etc\hosts" /Y && attrib +H "C:\windows\system32\drivers\etc\hosts" && "C:\Users\E620~1\AppData\Local\Temp\x1.bat" <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
(Microsoft Windows -> Microsoft Corporation) -> -a "C:\Users\Анюта\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IEDSWOTJ\KTT9[1].exe" -d C:\Users\Анюта\Desktop <==== ВНИМАНИЕ
CHR HKLM\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci]
CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck]
CHR HKLM\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc]
CHR HKLM\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg]
CHR HKLM\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki]
CHR HKLM\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif]
CHR HKLM\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme]
CHR HKLM\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd]
CHR HKLM\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf]
CHR HKLM\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk]
CHR HKU\S-1-5-21-3179685040-2251142065-1893839061-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh]
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Ссылка на комментарий
Поделиться на другие сайты

Любопытно было что то "НЕХОРОШЕ" на компе под WIN7 ( ему так и так переустановка)

сейчас еще загрузочной прогоню свежей.

Под нехорошим имеется ввиду шифровальщики.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Тело шифровальщика скорее всего самоудалилось, оставив после себя много чего нехорошего. Записки о выкупе, зашифрованные файлы.

 

Батник какой то запускался отсюда:

C:\Users\E620~1\AppData\Local\Temp\x1.bat
Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Елена9999999
      Автор Елена9999999
      Здравствуйте, 
      На компьютер попал вирус. Теперь все файлы с расширением gxGxvJCWI. Везде требования об их выкупе. Можно ли как-то восстановить файлы? 
    • serj_serj
      Автор serj_serj
      Добрый день!
      Столкнулся с каким-то вредоносным ПО скорее всего, которое повредило все мои файлы с расширением .docx и .xlsx. При попытке открытия файлов MS Office выдаёт сообщение "приложением word в документе обнаружено содержимое которое не удалось прочитать ошибка. Доверяете ли вы источнику? " Если я нажимаю "Да" - файлы не открываются, выводится сообщение об ошибке открытия либо то, что файл повреждён.

      Сканировал Kaspersky Virus Removal Tool, обнаружены:
      1. MEM:Trojan.Win32.SEPEH.gen
      System Memory
      Троянская программа
      2. HEUR:HackTool.Win32.KMSAuto.gen
      C:\Windows\AAct_Tools\AAct.exe

      Пока никаких действий не принимал. Каких-либо действий по вымогательству (если это шифровальщик) не было.
      Логи прикрепляю.
      Получится ли восстановить данные из повреждённых файлов? 
      CollectionLog-2025.03.27-21.39.zip
      ещё для примера прикладываю архив с повреждёнными файлами
      повреждённые файлы.rar
    • CreativeArch
    • Иван Иванович Ивановский
      Автор Иван Иванович Ивановский
      сегодня утром зашифровал все файлы
      часть данных у меня были на флешке, есть исходные, не зашифрованные файлы - положил их тоже в архив
      что это за тип шифровальщика, возможна ли расшифровка?
      и с компом чего теперь делать, возможно ли очистить и работать дальше или лучше все отформатировать и переустановить ?
       
      архив и логи FRST прилагаю
      Архив.7z Addition.txt FRST.txt
    • Александр Щепочкин
      Автор Александр Щепочкин
      Добрый день, такое же и у меня случилось,  с таким же расширением, никто ничего не скачивал и по ссылкам не переходил, работают на удаленном рабочем столе, переносят только файлы вод или экселя. Кидаю пример файла и текст с выкупом
      6iENBa2rG.README.txt Ведомость выроботки по объекту Радиальная (белорусы) общее.xlsx.rar
       
      Сообщение от модератора kmscom Сообщение перенесено из темы Шифровальщик зашифровал файлы расширение .6iENBa2rG
×
×
  • Создать...