Перейти к содержанию

Вирус шифровальщик ContiCrypt.MFP!MTB

Aleksandr Korolev
 Поделиться

Рекомендуемые сообщения

Aleksandr Korolev

Aleksandr Korolev

Опубликовано
Опубликовано

Добрый день. Недавно взломали RDP одного из рабочих пк, и через него зашифровали данные NAS , попробовали выкупить, сбросили только exe и ключи, расшифровывает, но работает дешифровщик секунд 10, второй раз запустить нельзя , блокируется. Можно ли что то с ним сделать? Сам дешифровшик тоже как вирус , потому что много изменений в реестр вносит , прилагаю файл изменений которые он вносит , сам exe и ключи user id и второй ключvirus.rarНовый текстовый документ.txt#README-TO-DECRYPT-FILES.txt

safety

safety

Опубликовано
Опубликовано (изменено)
Цитата

прилагаю файл изменений которые он вносит

Что вы подразумеваете под файлом изменений? записку о выкупе, или что-то другое?

 

.HIJIFJ - это очевидно расширение зашифрованных файлов, верно?

ContiCrypt.MFP!MTB -- это детект в Windows Defender? Файлы зашифрованы предположительно с помощью шифровальщика Sauron.

 

Добавьте так же несколько зашифрованных файлов + логи FRST из зашифрованной системы.

Изменено пользователем safety
Aleksandr Korolev

Aleksandr Korolev

Опубликовано
  • Автор
Опубликовано

~res-x64.txt  В файле res-x64  изменения в системе после дешифровки

Зараженной системы нет, только nas. 


ContiCrypt.MFP!MTB -- это детект в Windows Defender?   Да дефендером определился. Архив с файлами скинул

WinRAR archive.rar

Сейчас решаю медленно но верно снапшотами нескольких вм в цикле перезапускаю , но файлов очень много и такой способ конечно не очень удобен

safety

safety

Опубликовано
Опубликовано (изменено)
1 час назад, Aleksandr Korolev сказал:

Зараженной системы нет, только nas. 

Запуск шифровальщика. скорее всего, был на взломанном устройстве.

Если срабатывание было в дефендере на взломанном компьютере, то и запуск шифровальщика был там,

Цитата

Недавно взломали RDP одного из рабочих пк, и через него зашифровали данные NAS

а данные NAS шифровались как сетевой диск, доступный со взломанного ПК. Поэтому имеет смысл сделать логи FRST на взломанном ПК.

 

Цитата

попробовали выкупить, сбросили только exe и ключи, расшифровывает, но работает дешифровщик секунд 10

дешифратор и ключи (за выкуп) получили через контакты в записке о выкупе или через посредников?

 

Изменено пользователем safety
  • safety изменил название на Вирус шифровальщик ContiCrypt.MFP!MTB
Aleksandr Korolev

Aleksandr Korolev

Опубликовано
  • Автор
Опубликовано

Вломанный пк забрали правоохранительные органы.

49 минут назад, safety сказал:

Запуск шифровальщика. скорее всего, был на взломанном устройстве.

Если срабатывание было в дефендере на взломанном компьютере, то и запуск шифровальщика был там,

а данные NAS шифровались как сетевой диск, доступный со взломанного ПК. Поэтому имеет смысл сделать логи FRST на взломанном ПК.

 

дешифратор и ключи (за выкуп) получили через контакты в записке о выкупе или через посредников?

 

Да со взломанного как сетевой диск.

Дешифратор получили через телегу  с этим контактом, но требуют еще за secret key

 

safety

safety

Опубликовано
Опубликовано (изменено)

А сэмпл шифровальщика сохранился у вас (если антивир среагировал на него, значит он мог попасть в карантин)? Можете его предоставить в архиве, с паролем virus?

25 минут назад, Aleksandr Korolev сказал:

Дешифратор получили через телегу  с этим контактом, но требуют еще за secret key

Т.е. вам предоставили пробный дешифратор до получения оплаты? до получения полной оплаты?

Изменено пользователем safety
Aleksandr Korolev

Aleksandr Korolev

Опубликовано
  • Автор
Опубликовано
9 минут назад, safety сказал:

А сэмпл шифровальщика сохранился у вас (если антивир среагировал на него, значит он мог попасть в карантин)? Можете его предоставить в архиве, с паролем virus?

Т.е. вам предоставили пробный дешифратор до получения оплаты? до получения полной оплаты?

Да предоставили его. 

Шифровальщика нет , пк органы забрали 

safety

safety

Опубликовано
Опубликовано (изменено)
Цитата

расшифровывает, но работает дешифровщик секунд 10, второй раз запустить нельзя , блокируется. Можно ли что то с ним сделать?

Какое количество файлов было расшифровано при первом запуске дешифратора?

+

проверьте ЛС.

Изменено пользователем safety
Aleksandr Korolev

Aleksandr Korolev

Опубликовано
  • Автор
Опубликовано

я расшифровал 18 тысяч файлов

при первом запуске может сотня

safety

safety

Опубликовано
Опубликовано

Хотя бы так. Не обнаружили ограничений по расшифровке на размер файла?

Aleksandr Korolev

Aleksandr Korolev

Опубликовано
  • Автор
Опубликовано
В 15.07.2025 в 16:27, safety сказал:

Хотя бы так. Не обнаружили ограничений по расшифровке на размер файла?

Ну сейчас не проходится вообще,зависает на месте и закрывается

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Александр Хан
      .LHYMPU
      Автор Александр Хан
      Добрый день, словили шифровальщика, возможно ли помочь?Shortcut.txtFRST.txtНовая папка.zipAddition.txt
      Во вложении 2 зашифрованных файла, 1 так же расшифровал злоумышленник (внутри)
      2 вида запроса о выкупе
      а так же логи
      пароль на архив стандартный (virus)
    • Констатин
      Вирус шифровальщик troyan.encoder.35209
      Автор Констатин
      Нужна помощь с расшифровкой файлов
      Addition.txt FRST.txt
    • Orbeatt
      Делюсь деширатором Sauron или Trojan.Encoder.35209. Может поможет комуто.
      Автор Orbeatt
      Ранее писал, поймали шифратор.
      Получили от злоумышленников дешифратор, делюсь с вами, может кому то поможет не платить деньги как мы.
       
      [ID-E5DAFA5D].zip
    • Павел Бурдейный
      Помощи с шифровальщиком
      Автор Павел Бурдейный
      Сегодня схватили шифровальщика. Имя файла изменилось на Лист Microsoft Office Excel.xlsx.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK . Прошу помочь в решении проблемы
      Лист Microsoft Office Excel.xlsx
    • Warlocktv
      Ransomware Phobos
      Автор Warlocktv
      Добрый день,
      Через RDP словили шифровальщик Phobos (на основании ID Ransomware https://id-ransomware.malwarehunterteam.com/identify.php?case=52c4281ece07330467137e30a150ae4130e52132).
      Отчеты Recorded Future Triangle https://tria.ge/241216-tdxdrsvpek и Joe Sand Cloud https://www.joesandbox.com/analysis/1576226/1/executive.
      Зараженные системы удалены. Остались зараженные файлы которые требуется дешифровать. Необходима помощь. В архиве два зараженных файла и сообщения от шифровальщиков.Encrypted.zip
×
×
  • Создать...