Перейти к содержанию

Рекомендуемые сообщения

Добрый день. Недавно взломали RDP одного из рабочих пк, и через него зашифровали данные NAS , попробовали выкупить, сбросили только exe и ключи, расшифровывает, но работает дешифровщик секунд 10, второй раз запустить нельзя , блокируется. Можно ли что то с ним сделать? Сам дешифровшик тоже как вирус , потому что много изменений в реестр вносит , прилагаю файл изменений которые он вносит , сам exe и ключи user id и второй ключvirus.rarНовый текстовый документ.txt#README-TO-DECRYPT-FILES.txt

Ссылка на комментарий
Поделиться на другие сайты

Цитата

прилагаю файл изменений которые он вносит

Что вы подразумеваете под файлом изменений? записку о выкупе, или что-то другое?

 

.HIJIFJ - это очевидно расширение зашифрованных файлов, верно?

ContiCrypt.MFP!MTB -- это детект в Windows Defender? Файлы зашифрованы предположительно с помощью шифровальщика Sauron.

 

Добавьте так же несколько зашифрованных файлов + логи FRST из зашифрованной системы.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

~res-x64.txt  В файле res-x64  изменения в системе после дешифровки

Зараженной системы нет, только nas. 


ContiCrypt.MFP!MTB -- это детект в Windows Defender?   Да дефендером определился. Архив с файлами скинул

WinRAR archive.rar

Сейчас решаю медленно но верно снапшотами нескольких вм в цикле перезапускаю , но файлов очень много и такой способ конечно не очень удобен

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, Aleksandr Korolev сказал:

Зараженной системы нет, только nas. 

Запуск шифровальщика. скорее всего, был на взломанном устройстве.

Если срабатывание было в дефендере на взломанном компьютере, то и запуск шифровальщика был там,

Цитата

Недавно взломали RDP одного из рабочих пк, и через него зашифровали данные NAS

а данные NAS шифровались как сетевой диск, доступный со взломанного ПК. Поэтому имеет смысл сделать логи FRST на взломанном ПК.

 

Цитата

попробовали выкупить, сбросили только exe и ключи, расшифровывает, но работает дешифровщик секунд 10

дешифратор и ключи (за выкуп) получили через контакты в записке о выкупе или через посредников?

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

  • safety изменил название на Вирус шифровальщик ContiCrypt.MFP!MTB

Вломанный пк забрали правоохранительные органы.

49 минут назад, safety сказал:

Запуск шифровальщика. скорее всего, был на взломанном устройстве.

Если срабатывание было в дефендере на взломанном компьютере, то и запуск шифровальщика был там,

а данные NAS шифровались как сетевой диск, доступный со взломанного ПК. Поэтому имеет смысл сделать логи FRST на взломанном ПК.

 

дешифратор и ключи (за выкуп) получили через контакты в записке о выкупе или через посредников?

 

Да со взломанного как сетевой диск.

Дешифратор получили через телегу  с этим контактом, но требуют еще за secret key

 

Ссылка на комментарий
Поделиться на другие сайты

А сэмпл шифровальщика сохранился у вас (если антивир среагировал на него, значит он мог попасть в карантин)? Можете его предоставить в архиве, с паролем virus?

25 минут назад, Aleksandr Korolev сказал:

Дешифратор получили через телегу  с этим контактом, но требуют еще за secret key

Т.е. вам предоставили пробный дешифратор до получения оплаты? до получения полной оплаты?

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

9 минут назад, safety сказал:

А сэмпл шифровальщика сохранился у вас (если антивир среагировал на него, значит он мог попасть в карантин)? Можете его предоставить в архиве, с паролем virus?

Т.е. вам предоставили пробный дешифратор до получения оплаты? до получения полной оплаты?

Да предоставили его. 

Шифровальщика нет , пк органы забрали 

Ссылка на комментарий
Поделиться на другие сайты

Цитата

расшифровывает, но работает дешифровщик секунд 10, второй раз запустить нельзя , блокируется. Можно ли что то с ним сделать?

Какое количество файлов было расшифровано при первом запуске дешифратора?

+

проверьте ЛС.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

В 15.07.2025 в 16:27, safety сказал:

Хотя бы так. Не обнаружили ограничений по расшифровке на размер файла?

Ну сейчас не проходится вообще,зависает на месте и закрывается

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • uzayri1999
      Автор uzayri1999
      Как и у многих нагружается процессор, во время игр чувствуется просадка по мощности из-за этого. Смотрел предыдущие темы на сайте по этой проблеме но не сильно разобрался. Нужна помощь

    • Serega11Rus
      Автор Serega11Rus
      Здравствуйте. Скорее всего поймал троян-майнер. Комп в режиме ожидания нагружает ЦП, при включении диспетчера задач, процессор со 100% нагрузки падает моментально на 3-6%. Чищу антивирусом и после перезагрузки появляется снова. Помогите разобраться, пожалуйста
      CollectionLog-2025.07.02-12.36.zip
    • Aleks yakov
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
    • AlexYarm
      Автор AlexYarm
      Зашифровались файлы. Расширение файлов hardbit4. Прилагаю необходимые архивы. Прошу помочь с расшифровкой.
      Hardbit4Virus.zip
    • kaje_14
      Автор kaje_14
      Есть старый маленький локальный сервер, на нём есть 3 диска, точно заразился 1 из них, который общедоступный. Не все папки и файлы заразились. Запустил Cureit, он ничего не нашёл (точнее кажется не видит). Но во многих папках имеются файл с название --attention.hta, а зашифрованные файлы имеют свои наименования плюс добавилось такое: например блокнот.txt_[UID=YMG-MBMFV TelegramID=@recoveryfiles1].ano. У всех файлов расширение .ano. Были небольшие попытки расшифровать некоторые файлы с помощью декрипторов не помогло.
      Вирус точно зашел с ПК в сети, на котором недавно настраивал RDP, сам этот комп учетные записи заблокировались. Придется форматировать.
      Прикрепляю логи FRST, пару скриншотов (с безопасного режима всё делал), архив с примерами зашифрованных файлов, архив с файлом attention.hta и каким то подозрительным файлом (может это был свой файл зашифрованный). 
      Никакого текста с вымоганием пока не нашёл.
      Если где неправильно что-то оформил извините. Случай сегодня обнаружился, судя по времени изменения файлов всё произошло ночью по местному времени.FRST.txt


      Addition.txt Shortcut.txt кажется вирус имеются во всех папках.rar примеры зашифрованных файлов.rar
×
×
  • Создать...