Перейти к содержанию

Вирус шифровальщик ContiCrypt.MFP!MTB


Рекомендуемые сообщения

Добрый день. Недавно взломали RDP одного из рабочих пк, и через него зашифровали данные NAS , попробовали выкупить, сбросили только exe и ключи, расшифровывает, но работает дешифровщик секунд 10, второй раз запустить нельзя , блокируется. Можно ли что то с ним сделать? Сам дешифровшик тоже как вирус , потому что много изменений в реестр вносит , прилагаю файл изменений которые он вносит , сам exe и ключи user id и второй ключvirus.rarНовый текстовый документ.txt#README-TO-DECRYPT-FILES.txt

Ссылка на комментарий
Поделиться на другие сайты

Цитата

прилагаю файл изменений которые он вносит

Что вы подразумеваете под файлом изменений? записку о выкупе, или что-то другое?

 

.HIJIFJ - это очевидно расширение зашифрованных файлов, верно?

ContiCrypt.MFP!MTB -- это детект в Windows Defender? Файлы зашифрованы предположительно с помощью шифровальщика Sauron.

 

Добавьте так же несколько зашифрованных файлов + логи FRST из зашифрованной системы.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

~res-x64.txt  В файле res-x64  изменения в системе после дешифровки

Зараженной системы нет, только nas. 


ContiCrypt.MFP!MTB -- это детект в Windows Defender?   Да дефендером определился. Архив с файлами скинул

WinRAR archive.rar

Сейчас решаю медленно но верно снапшотами нескольких вм в цикле перезапускаю , но файлов очень много и такой способ конечно не очень удобен

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, Aleksandr Korolev сказал:

Зараженной системы нет, только nas. 

Запуск шифровальщика. скорее всего, был на взломанном устройстве.

Если срабатывание было в дефендере на взломанном компьютере, то и запуск шифровальщика был там,

Цитата

Недавно взломали RDP одного из рабочих пк, и через него зашифровали данные NAS

а данные NAS шифровались как сетевой диск, доступный со взломанного ПК. Поэтому имеет смысл сделать логи FRST на взломанном ПК.

 

Цитата

попробовали выкупить, сбросили только exe и ключи, расшифровывает, но работает дешифровщик секунд 10

дешифратор и ключи (за выкуп) получили через контакты в записке о выкупе или через посредников?

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

  • safety изменил название на Вирус шифровальщик ContiCrypt.MFP!MTB

Вломанный пк забрали правоохранительные органы.

49 минут назад, safety сказал:

Запуск шифровальщика. скорее всего, был на взломанном устройстве.

Если срабатывание было в дефендере на взломанном компьютере, то и запуск шифровальщика был там,

а данные NAS шифровались как сетевой диск, доступный со взломанного ПК. Поэтому имеет смысл сделать логи FRST на взломанном ПК.

 

дешифратор и ключи (за выкуп) получили через контакты в записке о выкупе или через посредников?

 

Да со взломанного как сетевой диск.

Дешифратор получили через телегу  с этим контактом, но требуют еще за secret key

 

Ссылка на комментарий
Поделиться на другие сайты

А сэмпл шифровальщика сохранился у вас (если антивир среагировал на него, значит он мог попасть в карантин)? Можете его предоставить в архиве, с паролем virus?

25 минут назад, Aleksandr Korolev сказал:

Дешифратор получили через телегу  с этим контактом, но требуют еще за secret key

Т.е. вам предоставили пробный дешифратор до получения оплаты? до получения полной оплаты?

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

9 минут назад, safety сказал:

А сэмпл шифровальщика сохранился у вас (если антивир среагировал на него, значит он мог попасть в карантин)? Можете его предоставить в архиве, с паролем virus?

Т.е. вам предоставили пробный дешифратор до получения оплаты? до получения полной оплаты?

Да предоставили его. 

Шифровальщика нет , пк органы забрали 

Ссылка на комментарий
Поделиться на другие сайты

Цитата

расшифровывает, но работает дешифровщик секунд 10, второй раз запустить нельзя , блокируется. Можно ли что то с ним сделать?

Какое количество файлов было расшифровано при первом запуске дешифратора?

+

проверьте ЛС.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Serega11Rus
      Автор Serega11Rus
      Здравствуйте. Скорее всего поймал троян-майнер. Комп в режиме ожидания нагружает ЦП, при включении диспетчера задач, процессор со 100% нагрузки падает моментально на 3-6%. Чищу антивирусом и после перезагрузки появляется снова. Помогите разобраться, пожалуйста
      CollectionLog-2025.07.02-12.36.zip
    • Aleks yakov
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
    • AlexYarm
      Автор AlexYarm
      Зашифровались файлы. Расширение файлов hardbit4. Прилагаю необходимые архивы. Прошу помочь с расшифровкой.
      Hardbit4Virus.zip
    • vasia15
      Автор vasia15
      вирус блокирует возможность скачать антивирус,все программы заполняет кракозябрами,установить нет возможности.прошу помощи.сам не справляюсь.
    • escadron
      Автор escadron
      В далеком 2015 году скачал какую-то фигню на комп, потерял практически все фотографии и видео. Получил от матери по шапке и благополучно об этом забыл.
      Сейчас же внезапно захотелось восстановить файлы, если, конечно, это возможно.
      Из-за ограничений формата прикрепляемых файлов не могу предоставить пример зашифрованных данных.
      Файл с почтой/другой информацией (README**.txt) либо был утерян, либо же вообще не появлялся на компьютере.
      Надеюсь, знатоки смогут помочь.
×
×
  • Создать...