Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Вирус шифровальщик ContiCrypt.MFP!MTB

Aleksandr Korolev
 Поделиться

Рекомендуемые сообщения

Aleksandr Korolev

Aleksandr Korolev

Опубликовано
Опубликовано

Добрый день. Недавно взломали RDP одного из рабочих пк, и через него зашифровали данные NAS , попробовали выкупить, сбросили только exe и ключи, расшифровывает, но работает дешифровщик секунд 10, второй раз запустить нельзя , блокируется. Можно ли что то с ним сделать? Сам дешифровшик тоже как вирус , потому что много изменений в реестр вносит , прилагаю файл изменений которые он вносит , сам exe и ключи user id и второй ключvirus.rarНовый текстовый документ.txt#README-TO-DECRYPT-FILES.txt

safety

safety

Опубликовано
Опубликовано (изменено)
Цитата

прилагаю файл изменений которые он вносит

Что вы подразумеваете под файлом изменений? записку о выкупе, или что-то другое?

 

.HIJIFJ - это очевидно расширение зашифрованных файлов, верно?

ContiCrypt.MFP!MTB -- это детект в Windows Defender? Файлы зашифрованы предположительно с помощью шифровальщика Sauron.

 

Добавьте так же несколько зашифрованных файлов + логи FRST из зашифрованной системы.

Изменено пользователем safety
Aleksandr Korolev

Aleksandr Korolev

Опубликовано
  • Автор
Опубликовано

~res-x64.txt  В файле res-x64  изменения в системе после дешифровки

Зараженной системы нет, только nas. 


ContiCrypt.MFP!MTB -- это детект в Windows Defender?   Да дефендером определился. Архив с файлами скинул

WinRAR archive.rar

Сейчас решаю медленно но верно снапшотами нескольких вм в цикле перезапускаю , но файлов очень много и такой способ конечно не очень удобен

safety

safety

Опубликовано
Опубликовано (изменено)
1 час назад, Aleksandr Korolev сказал:

Зараженной системы нет, только nas. 

Запуск шифровальщика. скорее всего, был на взломанном устройстве.

Если срабатывание было в дефендере на взломанном компьютере, то и запуск шифровальщика был там,

Цитата

Недавно взломали RDP одного из рабочих пк, и через него зашифровали данные NAS

а данные NAS шифровались как сетевой диск, доступный со взломанного ПК. Поэтому имеет смысл сделать логи FRST на взломанном ПК.

 

Цитата

попробовали выкупить, сбросили только exe и ключи, расшифровывает, но работает дешифровщик секунд 10

дешифратор и ключи (за выкуп) получили через контакты в записке о выкупе или через посредников?

 

Изменено пользователем safety
  • safety изменил название на Вирус шифровальщик ContiCrypt.MFP!MTB
Aleksandr Korolev

Aleksandr Korolev

Опубликовано
  • Автор
Опубликовано

Вломанный пк забрали правоохранительные органы.

49 минут назад, safety сказал:

Запуск шифровальщика. скорее всего, был на взломанном устройстве.

Если срабатывание было в дефендере на взломанном компьютере, то и запуск шифровальщика был там,

а данные NAS шифровались как сетевой диск, доступный со взломанного ПК. Поэтому имеет смысл сделать логи FRST на взломанном ПК.

 

дешифратор и ключи (за выкуп) получили через контакты в записке о выкупе или через посредников?

 

Да со взломанного как сетевой диск.

Дешифратор получили через телегу  с этим контактом, но требуют еще за secret key

 

safety

safety

Опубликовано
Опубликовано (изменено)

А сэмпл шифровальщика сохранился у вас (если антивир среагировал на него, значит он мог попасть в карантин)? Можете его предоставить в архиве, с паролем virus?

25 минут назад, Aleksandr Korolev сказал:

Дешифратор получили через телегу  с этим контактом, но требуют еще за secret key

Т.е. вам предоставили пробный дешифратор до получения оплаты? до получения полной оплаты?

Изменено пользователем safety
Aleksandr Korolev

Aleksandr Korolev

Опубликовано
  • Автор
Опубликовано
9 минут назад, safety сказал:

А сэмпл шифровальщика сохранился у вас (если антивир среагировал на него, значит он мог попасть в карантин)? Можете его предоставить в архиве, с паролем virus?

Т.е. вам предоставили пробный дешифратор до получения оплаты? до получения полной оплаты?

Да предоставили его. 

Шифровальщика нет , пк органы забрали 

safety

safety

Опубликовано
Опубликовано (изменено)
Цитата

расшифровывает, но работает дешифровщик секунд 10, второй раз запустить нельзя , блокируется. Можно ли что то с ним сделать?

Какое количество файлов было расшифровано при первом запуске дешифратора?

+

проверьте ЛС.

Изменено пользователем safety
Aleksandr Korolev

Aleksandr Korolev

Опубликовано
  • Автор
Опубликовано

я расшифровал 18 тысяч файлов

при первом запуске может сотня

safety

safety

Опубликовано
Опубликовано

Хотя бы так. Не обнаружили ограничений по расшифровке на размер файла?

Aleksandr Korolev

Aleksandr Korolev

Опубликовано
  • Автор
Опубликовано
В 15.07.2025 в 16:27, safety сказал:

Хотя бы так. Не обнаружили ограничений по расшифровке на размер файла?

Ну сейчас не проходится вообще,зависает на месте и закрывается

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • R-r-r
      Шифровальщик (перебор rdp)
      Автор R-r-r
      схватил вчера, адрес brunobiden76@gmail.com  и brickscold6@gmail.com  FRST прогнал
      Arm_Helv.ttf.[ID-4D2D8606].[brunobiden76@gmail.com].zip Arm_Helv.ttf.[ID-4D2D8606].[brunobiden76@gmail.com]_pw_virus.zip Armguard.ttf.[ID-4D2D8606].[brunobiden76@gmail.com]_pw_virus.zip FRST.txt #HOW-TO-RESTORE-YOUR-FILES.txt Addition.txt
    • АлександрЮ
      шифровальщик [ID-9A701949].[Telegram ID @kind_ad].LGJIID
      Автор АлександрЮ
      Систему переустановили ранее, предшественник оставил диск с зашифрованными файлами. Прошу помощи в определении и если получится расшифровке. Вложения - текстовик вируса и в архиве зашифрованные файлы \самого зловреда там нет, поэтому пароль на архив не ставил\
      #HOW-TO-RESTORE-YOUR-FILES.txt buh_Кундряк.rar
    • Gena1589
      Шифровальщик с расширением .BQPEKB семейства Phobos
      Автор Gena1589
      Добрый день
      Словили шифровальщика, зашифровал сервера, включая те которые  были по vpn туннелю, может кто сталкивался с ним? Оставил свой телеграмм, а не почту. Куда копать, чтобы понять с кого и с чего все началось? В одной из папок обнаружил батники, программы взломщика




    • Volos
      Поймали шифровальщик, пострадали 3 компьютера
      Автор Volos
      Зашифрованы файлы на трех компьютерах. Одна из машин теперь не запускается, была запущена полная проверка Касперским. Обнаружены два вредоносных файла (приложил фото).
      Запустил сканирование FRST на другой машине, которая запускается (логи и файлы с требованиями приложил)

       
      файлы.zip Addition.txt FRST.txt
    • s.vetoshkin
      Здравствуйте. Шифровальщик зашифровал файлы помогите пожалуйста расшифровать
      Автор s.vetoshkin
      infected!!!.zip
      Сообщение от модератора thyrex Перенесено в раздел по шифровальщикам
×
×
  • Создать...