proxima biobiorans шифровальщик- возможна ли раскодировка файлов

[DIM_ZIM]

Словили шифровальщика. Файлы на сетевой шаре  закодированы и в названия имеют такой вид  ******** .xlsx.EMAIL=[biobiorans@gmail.com]ID=[****************]

 кто то сталкивался  с такой проблемой ?  ЧТО за вирус ( его название). Может быть имеется опыт по дешифровке?

 

111.rar

[safety]

Добавьте записку о выкупе,

+

Добавьте логи анализа системы при помощи Farbar Recovery Scan Tool.

6 часов назад, DIM_ZIM сказал:

Файлы на сетевой шаре  закодированы

Если зашифрованы файлы только на сетевой шаре, значит надо искать устройство, на котором был запуск шифровальщика. Логт FRST нужно делать именно на этом ПК, где был запуск.

 

Возможно, это Enmity, но необходимы логи для уточнения типа и записка о выкупе.

Точнее, это Proxima/BTC-azadi.

Изменено 14 февраля пользователем safety

[DIM_ZIM]

Добрый день предположительно атака была с WIN7, логи сняты  с него во вложении  так же во вложении текст сообщения.

Есть возможность сравнить файлы в исходном состоянии и закодированные ( возможно декодирование в этом случае более успешное)

LOG_text.rar

[safety]

по очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
Startup: C:\Users\Анюта\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AdobeUpdater.lnk [2012-02-12] <==== ВНИМАНИЕ
ShortcutAndArgument: AdobeUpdater.lnk -> C:\Windows\System32\cmd.exe =>  /c copy "C:\Users\E620~1\AppData\Local\Temp\h1" "C:\windows\system32\drivers\etc\hosts" /Y && attrib +H "C:\windows\system32\drivers\etc\hosts" && "C:\Users\E620~1\AppData\Local\Temp\x1.bat" <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
(Microsoft Windows -> Microsoft Corporation) -> -a "C:\Users\Анюта\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IEDSWOTJ\KTT9[1].exe" -d C:\Users\Анюта\Desktop <==== ВНИМАНИЕ
CHR HKLM\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci]
CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck]
CHR HKLM\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc]
CHR HKLM\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg]
CHR HKLM\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki]
CHR HKLM\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif]
CHR HKLM\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme]
CHR HKLM\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd]
CHR HKLM\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf]
CHR HKLM\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk]
CHR HKU\S-1-5-21-3179685040-2251142065-1893839061-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh]
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

[DIM_ZIM]

Любопытно было что то "НЕХОРОШЕ" на компе под WIN7 ( ему так и так переустановка)

сейчас еще загрузочной прогоню свежей.

Под нехорошим имеется ввиду шифровальщики.

Fixlog.txt

[safety]

Тело шифровальщика скорее всего самоудалилось, оставив после себя много чего нехорошего. Записки о выкупе, зашифрованные файлы.

 

Батник какой то запускался отсюда:

C:\Users\E620~1\AppData\Local\Temp\x1.bat

Изменено 17 февраля пользователем safety

[safety]

1 час назад, a.r. сказал:

нам удалось заполучить тело

Создайте отдельную тему в разделе, там продолжим обсуждение.