Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Вирус шифровальщик ContiCrypt.MFP!MTB

Aleksandr Korolev
 Поделиться

Рекомендуемые сообщения

Aleksandr Korolev

Aleksandr Korolev

Опубликовано
Опубликовано

Добрый день. Недавно взломали RDP одного из рабочих пк, и через него зашифровали данные NAS , попробовали выкупить, сбросили только exe и ключи, расшифровывает, но работает дешифровщик секунд 10, второй раз запустить нельзя , блокируется. Можно ли что то с ним сделать? Сам дешифровшик тоже как вирус , потому что много изменений в реестр вносит , прилагаю файл изменений которые он вносит , сам exe и ключи user id и второй ключvirus.rarНовый текстовый документ.txt#README-TO-DECRYPT-FILES.txt

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)
Цитата

прилагаю файл изменений которые он вносит

Что вы подразумеваете под файлом изменений? записку о выкупе, или что-то другое?

 

.HIJIFJ - это очевидно расширение зашифрованных файлов, верно?

ContiCrypt.MFP!MTB -- это детект в Windows Defender? Файлы зашифрованы предположительно с помощью шифровальщика Sauron.

 

Добавьте так же несколько зашифрованных файлов + логи FRST из зашифрованной системы.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Aleksandr Korolev

Aleksandr Korolev

Опубликовано
  • Автор
Опубликовано

~res-x64.txt  В файле res-x64  изменения в системе после дешифровки

Зараженной системы нет, только nas. 


ContiCrypt.MFP!MTB -- это детект в Windows Defender?   Да дефендером определился. Архив с файлами скинул

WinRAR archive.rar

Сейчас решаю медленно но верно снапшотами нескольких вм в цикле перезапускаю , но файлов очень много и такой способ конечно не очень удобен

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)
1 час назад, Aleksandr Korolev сказал:

Зараженной системы нет, только nas. 

Запуск шифровальщика. скорее всего, был на взломанном устройстве.

Если срабатывание было в дефендере на взломанном компьютере, то и запуск шифровальщика был там,

Цитата

Недавно взломали RDP одного из рабочих пк, и через него зашифровали данные NAS

а данные NAS шифровались как сетевой диск, доступный со взломанного ПК. Поэтому имеет смысл сделать логи FRST на взломанном ПК.

 

Цитата

попробовали выкупить, сбросили только exe и ключи, расшифровывает, но работает дешифровщик секунд 10

дешифратор и ключи (за выкуп) получили через контакты в записке о выкупе или через посредников?

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
  • safety изменил название на Вирус шифровальщик ContiCrypt.MFP!MTB
Aleksandr Korolev

Aleksandr Korolev

Опубликовано
  • Автор
Опубликовано

Вломанный пк забрали правоохранительные органы.

49 минут назад, safety сказал:

Запуск шифровальщика. скорее всего, был на взломанном устройстве.

Если срабатывание было в дефендере на взломанном компьютере, то и запуск шифровальщика был там,

а данные NAS шифровались как сетевой диск, доступный со взломанного ПК. Поэтому имеет смысл сделать логи FRST на взломанном ПК.

 

дешифратор и ключи (за выкуп) получили через контакты в записке о выкупе или через посредников?

 

Да со взломанного как сетевой диск.

Дешифратор получили через телегу  с этим контактом, но требуют еще за secret key

 

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

А сэмпл шифровальщика сохранился у вас (если антивир среагировал на него, значит он мог попасть в карантин)? Можете его предоставить в архиве, с паролем virus?

25 минут назад, Aleksandr Korolev сказал:

Дешифратор получили через телегу  с этим контактом, но требуют еще за secret key

Т.е. вам предоставили пробный дешифратор до получения оплаты? до получения полной оплаты?

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Aleksandr Korolev

Aleksandr Korolev

Опубликовано
  • Автор
Опубликовано
9 минут назад, safety сказал:

А сэмпл шифровальщика сохранился у вас (если антивир среагировал на него, значит он мог попасть в карантин)? Можете его предоставить в архиве, с паролем virus?

Т.е. вам предоставили пробный дешифратор до получения оплаты? до получения полной оплаты?

Да предоставили его. 

Шифровальщика нет , пк органы забрали 

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)
Цитата

расшифровывает, но работает дешифровщик секунд 10, второй раз запустить нельзя , блокируется. Можно ли что то с ним сделать?

Какое количество файлов было расшифровано при первом запуске дешифратора?

+

проверьте ЛС.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Aleksandr Korolev

Aleksandr Korolev

Опубликовано
  • Автор
Опубликовано
В 15.07.2025 в 16:27, safety сказал:

Хотя бы так. Не обнаружили ограничений по расшифровке на размер файла?

Ну сейчас не проходится вообще,зависает на месте и закрывается

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • uzayri1999
      [РЕШЕНО] Trojan:PowerShell/Boxter.HBZ!MTB
      Автор uzayri1999
      Как и у многих нагружается процессор, во время игр чувствуется просадка по мощности из-за этого. Смотрел предыдущие темы на сайте по этой проблеме но не сильно разобрался. Нужна помощь

    • Serega11Rus
      [РЕШЕНО] Не удаляется Trojan:PowerShell/Boxter.HBZ!MTB
      Автор Serega11Rus
      Здравствуйте. Скорее всего поймал троян-майнер. Комп в режиме ожидания нагружает ЦП, при включении диспетчера задач, процессор со 100% нагрузки падает моментально на 3-6%. Чищу антивирусом и после перезагрузки появляется снова. Помогите разобраться, пожалуйста
      CollectionLog-2025.07.02-12.36.zip
    • Aleks yakov
      Вирус шифровальщик kozanostra
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
    • AlexYarm
      Вирус-шифровальщик Hardbit4
      Автор AlexYarm
      Зашифровались файлы. Расширение файлов hardbit4. Прилагаю необходимые архивы. Прошу помочь с расшифровкой.
      Hardbit4Virus.zip
    • kaje_14
      Доброго дня! Сегодня столкнулись с проблемой вирус-шифровальщика
      Автор kaje_14
      Есть старый маленький локальный сервер, на нём есть 3 диска, точно заразился 1 из них, который общедоступный. Не все папки и файлы заразились. Запустил Cureit, он ничего не нашёл (точнее кажется не видит). Но во многих папках имеются файл с название --attention.hta, а зашифрованные файлы имеют свои наименования плюс добавилось такое: например блокнот.txt_[UID=YMG-MBMFV TelegramID=@recoveryfiles1].ano. У всех файлов расширение .ano. Были небольшие попытки расшифровать некоторые файлы с помощью декрипторов не помогло.
      Вирус точно зашел с ПК в сети, на котором недавно настраивал RDP, сам этот комп учетные записи заблокировались. Придется форматировать.
      Прикрепляю логи FRST, пару скриншотов (с безопасного режима всё делал), архив с примерами зашифрованных файлов, архив с файлом attention.hta и каким то подозрительным файлом (может это был свой файл зашифрованный). 
      Никакого текста с вымоганием пока не нашёл.
      Если где неправильно что-то оформил извините. Случай сегодня обнаружился, судя по времени изменения файлов всё произошло ночью по местному времени.FRST.txt


      Addition.txt Shortcut.txt кажется вирус имеются во всех папках.rar примеры зашифрованных файлов.rar
×
×
  • Создать...