Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

biobiorans шифровальщик- возможна ли раскодировка файлов

DIM_ZIM
 Поделиться

Рекомендуемые сообщения

DIM_ZIM Новичок

DIM_ZIM

Опубликовано
Опубликовано

Словили шифровальщика. Файлы на сетевой шаре  закодированы и в названия имеют такой вид  ******** .xlsx.EMAIL=[biobiorans@gmail.com]ID=[****************]

 кто то сталкивался  с такой проблемой ?  ЧТО за вирус ( его название). Может быть имеется опыт по дешифровке?

 

111.rar

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Добавьте записку о выкупе,

+

Добавьте логи анализа системы при помощи Farbar Recovery Scan Tool.

6 часов назад, DIM_ZIM сказал:

Файлы на сетевой шаре  закодированы

Если зашифрованы файлы только на сетевой шаре, значит надо искать устройство, на котором был запуск шифровальщика. Логт FRST нужно делать именно на этом ПК, где был запуск.

 

Возможно, это Enmity, но необходимы логи для уточнения типа и записка о выкупе.

Точнее, это Proxima/BTC-azadi.

image.png

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
DIM_ZIM Новичок

DIM_ZIM

Опубликовано
  • Автор
Опубликовано

Добрый день предположительно атака была с WIN7, логи сняты  с него во вложении  так же во вложении текст сообщения.

Есть возможность сравнить файлы в исходном состоянии и закодированные ( возможно декодирование в этом случае более успешное)

LOG_text.rar

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

по очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
Startup: C:\Users\Анюта\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AdobeUpdater.lnk [2012-02-12] <==== ВНИМАНИЕ
ShortcutAndArgument: AdobeUpdater.lnk -> C:\Windows\System32\cmd.exe =>  /c copy "C:\Users\E620~1\AppData\Local\Temp\h1" "C:\windows\system32\drivers\etc\hosts" /Y && attrib +H "C:\windows\system32\drivers\etc\hosts" && "C:\Users\E620~1\AppData\Local\Temp\x1.bat" <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
(Microsoft Windows -> Microsoft Corporation) -> -a "C:\Users\Анюта\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IEDSWOTJ\KTT9[1].exe" -d C:\Users\Анюта\Desktop <==== ВНИМАНИЕ
CHR HKLM\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci]
CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck]
CHR HKLM\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc]
CHR HKLM\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg]
CHR HKLM\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki]
CHR HKLM\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif]
CHR HKLM\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme]
CHR HKLM\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd]
CHR HKLM\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf]
CHR HKLM\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk]
CHR HKU\S-1-5-21-3179685040-2251142065-1893839061-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh]
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Ссылка на комментарий
Поделиться на другие сайты
DIM_ZIM Новичок

DIM_ZIM

Опубликовано
  • Автор
Опубликовано

Любопытно было что то "НЕХОРОШЕ" на компе под WIN7 ( ему так и так переустановка)

сейчас еще загрузочной прогоню свежей.

Под нехорошим имеется ввиду шифровальщики.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Тело шифровальщика скорее всего самоудалилось, оставив после себя много чего нехорошего. Записки о выкупе, зашифрованные файлы.

 

Батник какой то запускался отсюда: 

C:\Users\E620~1\AppData\Local\Temp\x1.bat
Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • plak
      шифровальщик, возможно Proton/shinra
      Автор plak
      один из компьютеров в сети подцепил шифровальщик. зашифрована масса файлов как на самом пк, так и на папках с общим доступом на другом пк (все имеют формат .1cxz). ос не запустилась при включении. восстановил загрузчик, ос работает, нашел сам .exe (название содержит текст из вымогателя), по почте из файла вымогателя нашел упоминание на гитхабе в файле shinra. nomoreransom и id-ransomware ничего не находят. ос на зараженном пк пока не трогаю, но он может понадобиться, поэтому пока есть время, могу попробовать что-то поискать на нем, если укажете где искать. прикладываю
      1. результаты Farbar Recovery Scan Tool
      2. зашифрованные файлы
      3. шифровальщик
      4. текст вымогателя
      пароль на все файлы virus
      shifr.rar
    • Nik10
      Возможно ли расшифровать зашифрованные файлы
      Автор Nik10
      Возможно ли расшифровать зашифрованые файлы. Предположительно mimic

      В архивы 2 экзэмпляра зашифрованных файла, результаты утилиты FRST и записка о выкупе. Оригинал ВПО не найден.
      ransomware_1c.zip
    • specxpilot
      proton ransomware Не появилась ли возможность рашифровать?
      Автор specxpilot
    • serj_serj
      Вирус или вредоносное ПО повредило все файлы MS Office (docx, xlsx и возможно другие)
      Автор serj_serj
      Добрый день!
      Столкнулся с каким-то вредоносным ПО скорее всего, которое повредило все мои файлы с расширением .docx и .xlsx. При попытке открытия файлов MS Office выдаёт сообщение "приложением word в документе обнаружено содержимое которое не удалось прочитать ошибка. Доверяете ли вы источнику? " Если я нажимаю "Да" - файлы не открываются, выводится сообщение об ошибке открытия либо то, что файл повреждён.

      Сканировал Kaspersky Virus Removal Tool, обнаружены:
      1. MEM:Trojan.Win32.SEPEH.gen
      System Memory
      Троянская программа
      2. HEUR:HackTool.Win32.KMSAuto.gen
      C:\Windows\AAct_Tools\AAct.exe

      Пока никаких действий не принимал. Каких-либо действий по вымогательству (если это шифровальщик) не было.
      Логи прикрепляю.
      Получится ли восстановить данные из повреждённых файлов? 
      CollectionLog-2025.03.27-21.39.zip
      ещё для примера прикладываю архив с повреждёнными файлами
      повреждённые файлы.rar
    • Kdademon
      Помогите в расшифровке файлов после вируса шифровальщика Trojan-Ransom.Win32.Mimic.gen
      Автор Kdademon
      02.072025 обнаружили что на 2 компа (Windows 7) попал вирус шифровальщик 
      подключились предположительно по RDP
      зашифровали все базы 1с, бэкапы, архивы, документы
      файл с обращением от вымогателей нашли
      Kaspersky Virus Removal Tool нашел вируc HEUR:Trojan-Ransom.Win32.Mimic.gen

      Подскажите порядок действий по лечению этих компов и возможна ли дешифровка?
      Как можно обезопасится от подобного?
      Поможет ли установка Kaspersky на все компьютеры сети?

      Во вложении архив с примерами зашифрованных файлов из папки php
      Файлы постарался выбрать стандартные, общеизвестные может поможет в дешифровке
      Также приложил скрин с проверкой от Kaspersky Virus Removal Tool

      php.rar
×
×
  • Создать...