Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Добрый день, взлом произошел по RDP по порту 3389, получили доступ к учетку Администратор
Запуск произошел C:\Users\Администратор\Desktop\Recoverifiles@gmail.com.exe

Dr.Web обнаружил Trojan.Siggen20.38036 (приложил в файле exe virus)

key id pkey rsakey.7z зашифрованные docx.7z FRST.7z

Строгое предупреждение от модератора thyrex

Вредоносное вложение удалено

Опубликовано (изменено)

По шифрованию:

Recoverifiles@gmail.com.vexe

https://www.virustotal.com/gui/file/7b44ca9572a04d8c5452bf963fb01c5305e7ecf26e8bfe9186c48e944bbb3921

Это Ouroboros/Voidcrypt - расшифровка по данному типу невозможна без приватного ключа, но и приватный ключ от злоумышленников, скорее всего не поможет.

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender;
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
IFEO\CompatTelRunner.exe: [Debugger] C:\WINDOWS\system32\systray.exe
IFEO\mobsync.exe: [Debugger] C:\WINDOWS\system32\systray.exe
Startup: C:\Users\Vitaliy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dectryption-guide.txt [2025-03-30] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Dectryption-guide.txt [2025-03-30] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
S3 cpuz155; \??\C:\WINDOWS\temp\cpuz155\cpuz155_x64.sys [X] <==== ВНИМАНИЕ
S3 vna_ap; \SystemRoot\system32\DRIVERS\vnaap.sys [X]
S3 WdBoot; \SystemRoot\system32\drivers\wd\WdBoot.sys [X]
S3 WdFilter; \SystemRoot\system32\drivers\wd\WdFilter.sys [X]
S3 WdNisDrv; system32\drivers\wd\WdNisDrv.sys [X]
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено пользователем safety
Опубликовано

Fixlog.txt


А как приватный ключ должен выглядеть? присутствуют файлы

IDk.txt
pkey.txt
RSAKEY-MJ-JG4836750192.key
RSAKEY.key

 

Опубликовано (изменено)

Возможно, что вот так:

image.png

Самое интересное, что дешифратором и ключом, который присылают невозможно расшифровать файлы, но это было 2-3 года назад.

В последнее время Ouroboros редко встречается, чаше всего с расширением hop_dec.

Я думаю, мало что изменилось, так как сэмпл от 28. 03.2023.

RSAKEY-MJ-JG4836750192.key - возможно это приватный ключ, в зашифрованном виде.

Изменено пользователем safety
Опубликовано (изменено)
1 hour ago, safety said:

 

содержимое pkey

MIIBIDANBgkqhkiG9w0BAQEFAAOCAQ0AMIIBCAKCAQEAvLVehPeSkjhXbgPSS3XHSiL/jkDW
5JSlZJjToF6koMfQjYsFfG3/VHeWjFVynpMYPnsiOqDJwRFCH/uYCO6KAq8WWHkc5MYP+7A0
KIz4MJWYif7xM+5ttTHboFob+UAEo24Q8NFWb1bq+mpRJrP5Bv2+UCLOhrVmoSMrRY+zjuVe
/+yRMjNkHAC82uRALbFN601wTOkUgA+2Fr7BzVGSXmMvvt5WEXrD1EOmkBdGc5lmIZozalzj
5I3sBTvZiaHO70hlRtZzQKiTheVKFLFFFampTQMM9y+VtwBUOHS/FNcu6fFZvgf0cHkLC5Vm
gBuuYKYZ8XaK6qN4kVzCw/CUnQIBEQ==
 

Изменено пользователем safety
не надо лишнего цитирования, просто пишите ответ
Опубликовано

А вы разницы не видите по количеству строк.

 

RSAKEY-MJ-JG4836750192.key - возможно это приватный ключ, но в зашифрованном виде.  Расшифровать его смогут только злоумышленники. Они могут передать вам этот ключ за выкуп, но он не поможет расшифровать файлы.

  • Like (+1) 1
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Денис А
      Автор Денис А
      Добрый день.
      Помогите, пожалуйста, расшифровать файлы на ПК.
      Приложил файлы зашифрованные. лог FRST и текстовый файл с требованием выкупа.
       
      Заранее спасибо.
      AeyLALoFF.README.txt зашифрованные файлы.rar Addition.txt
      FRST.txt
    • progig
      Автор progig
      Доброго времени суток 30.07 все ПК сети введенные  в домен одновременно перезагрузились. Виндовс больше не запустился, все остановилось на "восстановлении системы". Система не восстанавливалась, у некоторых ПК диски вовсе упали в RAW. Поверх был установлен виндовс, но старые файлы пользователей так и не открылись( у всех файлов(кроме .txt, которые открываются) одна и та же дата/время изменения файла с минутной разницей). Файл FRST сделан из под командной строки "восстановления системы". Файл Addition не формируется. Записки о выкупе не обнаружено.
      Прикрепляю файл FRST и зашифрованные файлы. FRST.rarзашифрованные файлы.rar
    • astraoren
      Автор astraoren
      Здравствуйте, шифровальщик зашифровал файлы. Прошу помощи в расшифровке
      encoder files.zip
    • Lingon
      Автор Lingon
      files.rarAddition.txt
      FRST.txt
    • Evgeniy Alekseevich
      Автор Evgeniy Alekseevich
      05 августа , судя по датам файлов, на нашем сервере был запущен шифровальщик, кем и как пока выясняем, но сегодня утром я обнаружил зашифрованы практически все файлы.
      Файлы имеют расширение helpo2.
      Может кто сталкивался и сможет помочь ?
      Связались с вымогателями, они для примера расшифровали два файла, я вложил в архив два зашифрованных и они же расшифрованные . Там же письмо, которое они оставили.
      Также прикладываю файлы от  Farbar Recovery Scan Tool.
      Может кто сможет помочь....
      С Уважением, Евгений.
       
       
      Addition.txt FRST.txt НаборФайлов5шт.zip
×
×
  • Создать...