Перейти к содержанию

biobiorans шифровальщик- возможна ли раскодировка файлов

DIM_ZIM
 Share

Рекомендуемые сообщения

DIM_ZIM Новичок

DIM_ZIM

Опубликовано
Опубликовано

Словили шифровальщика. Файлы на сетевой шаре  закодированы и в названия имеют такой вид  ******** .xlsx.EMAIL=[biobiorans@gmail.com]ID=[****************]

 кто то сталкивался  с такой проблемой ?  ЧТО за вирус ( его название). Может быть имеется опыт по дешифровке?

 

111.rar

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Добавьте записку о выкупе,

+

Добавьте логи анализа системы при помощи Farbar Recovery Scan Tool.

6 часов назад, DIM_ZIM сказал:

Файлы на сетевой шаре  закодированы

Если зашифрованы файлы только на сетевой шаре, значит надо искать устройство, на котором был запуск шифровальщика. Логт FRST нужно делать именно на этом ПК, где был запуск.

 

Возможно, это Enmity, но необходимы логи для уточнения типа и записка о выкупе.

Точнее, это Proxima/BTC-azadi.

image.png

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
DIM_ZIM Новичок

DIM_ZIM

Опубликовано
  • Автор
Опубликовано

Добрый день предположительно атака была с WIN7, логи сняты  с него во вложении  так же во вложении текст сообщения.

Есть возможность сравнить файлы в исходном состоянии и закодированные ( возможно декодирование в этом случае более успешное)

LOG_text.rar

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

по очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
Startup: C:\Users\Анюта\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AdobeUpdater.lnk [2012-02-12] <==== ВНИМАНИЕ
ShortcutAndArgument: AdobeUpdater.lnk -> C:\Windows\System32\cmd.exe =>  /c copy "C:\Users\E620~1\AppData\Local\Temp\h1" "C:\windows\system32\drivers\etc\hosts" /Y && attrib +H "C:\windows\system32\drivers\etc\hosts" && "C:\Users\E620~1\AppData\Local\Temp\x1.bat" <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
(Microsoft Windows -> Microsoft Corporation) -> -a "C:\Users\Анюта\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IEDSWOTJ\KTT9[1].exe" -d C:\Users\Анюта\Desktop <==== ВНИМАНИЕ
CHR HKLM\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci]
CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck]
CHR HKLM\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc]
CHR HKLM\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg]
CHR HKLM\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki]
CHR HKLM\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif]
CHR HKLM\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme]
CHR HKLM\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd]
CHR HKLM\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf]
CHR HKLM\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk]
CHR HKU\S-1-5-21-3179685040-2251142065-1893839061-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh]
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Ссылка на комментарий
Поделиться на другие сайты
DIM_ZIM Новичок

DIM_ZIM

Опубликовано
  • Автор
Опубликовано

Любопытно было что то "НЕХОРОШЕ" на компе под WIN7 ( ему так и так переустановка)

сейчас еще загрузочной прогоню свежей.

Под нехорошим имеется ввиду шифровальщики.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Тело шифровальщика скорее всего самоудалилось, оставив после себя много чего нехорошего. Записки о выкупе, зашифрованные файлы.

 

Батник какой то запускался отсюда: 

C:\Users\E620~1\AppData\Local\Temp\x1.bat
Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • Алексей Шеин
      Файлы зашифрованы шифровальщиком с расширением .yzho
      От Алексей Шеин
      Добрый день.
       
      Зашифровались данные на дисках компьютера, все файлы стали с расширением .yzho кто подскажет, чем можно расшифровать?
      Спасибо.
       
      С уважением,
      Алексей Шеин
       

       
    • talga_mprint
      Неизвестный шифровальщик с расширением файлов .m0D0cQNMb
      От talga_mprint
      Доброго времени суток, нужна помощь в определении или расшифровке файлов.
      В пятницу вечером (070225) на компьютере сотрудника были зашифрованный файлы, предположительно через RDP(!rdp осуществляется через vpn с 2 ключами безопасности).

      Так же присутствует readme файл с email для контактов и выкупа. 
      Addition.txt FRST.txt encrypt-files.rar
      m0D0cQNMb.README.txt
    • Thunderer
      Шифровальщик
      От Thunderer
      Зашифровали файлы на компьютере и все общие папки 
      Подключились к компьютеру по RDP 
      В архиве логи frst, зашифрованный и расшифрованный файлы
      -Файлы.zip
    • Tadmin
      [РАСШИФРОВАНО] Помощь с восстановлением файлов после шифровальщика hopeandhonest@smime.ninja
      От Tadmin
      Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов.
      hopeandhonest@smime.ninja.zip
    • Пользователь 1551
      Шифровальщик
      От Пользователь 1551
      Добрый день! У нас аналогичная ситуация? Удалось расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...