Перейти к содержанию
Новогодняя встреча Kaspersky Club. Записывайся скорее!

Помощь в расшифровке файлов

Владислав Эпштейн

Автор Владислав Эпштейн
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Владислав Эпштейн

Владислав Эпштейн

Опубликовано
Опубликовано

Доброго дня, обнаружен троян шифровальщик, расширения файлов - xxpfz2h
Текст вымогателей найден отдельно, сам шифровальщик был удалён KVRT 
Имеются только названия угроз: Trojan-Ransom.Win32.Mimic.av     -    HEUR:Backdoor.MSIL.Crysan.gen
Просканировать систему не представляется возможным через программу которая приложена в правилах.
Сканирование через KVRT осуществлял из под безопасного режима без сетевых драйверов и заражённый диск подключался через отдельный HDD хаб.
Образцы зашифрованных файлов имеются, как и текстовый документ вымогателей
Посоветуйте пожалуйста о дальнейших действиях

Владислав Эпштейн

Владислав Эпштейн

Опубликовано
  • Автор
Опубликовано
1 час назад, Владислав Эпштейн сказал:

Доброго дня, обнаружен троян шифровальщик, расширения файлов - xxpfz2h
Текст вымогателей найден отдельно, сам шифровальщик был удалён KVRT 
Имеются только названия угроз: Trojan-Ransom.Win32.Mimic.av     -    HEUR:Backdoor.MSIL.Crysan.gen
Просканировать систему не представляется возможным через программу которая приложена в правилах.
Сканирование через KVRT осуществлял из под безопасного режима без сетевых драйверов и заражённый диск подключался через отдельный HDD хаб.
Образцы зашифрованных файлов имеются, как и текстовый документ вымогателей
Посоветуйте пожалуйста о дальнейших действиях

Текст вымогателей и образцы зашифрованных файлов прилагаю.

HowToRestoreFiles.rar НаборЗашифрованных Файлов.rar

safety

safety

Опубликовано
Опубликовано

Добавьте, пожалуйста, отчет о сканировании KVRT,

а так же, логи FRST из зашифрованной системы.

Владислав Эпштейн

Владислав Эпштейн

Опубликовано
  • Автор
Опубликовано
Только что, safety сказал:

Добавьте, пожалуйста, отчет о сканировании KVRT,

а так же, логи FRST из зашифрованной системы.

Подскажите, где их взять и как просканировать через FRST отдельно диск? Так как ОС с заражённого диска более не загружается, по этому все манипуляции воспроизводились на отдельной чистой ОС без подключения к интернету.
 

safety

safety

Опубликовано
Опубликовано (изменено)
В 07.08.2025 в 17:12, Владислав Эпштейн сказал:

Текст вымогателей найден отдельно, сам шифровальщик был удалён KVRT 

Отчет KVRT размещен на устройстве откуда вы его запускали, в папке KVRT*_DATA

C:\KVRT2020_Data\

Изменено пользователем safety
Владислав Эпштейн

Владислав Эпштейн

Опубликовано
  • Автор
Опубликовано
В 08.08.2025 в 00:03, safety сказал:

Отчет KVRT размещен на устройстве откуда вы его запускали, в папке KVRT*_DATA

C:\KVRT2020_Data\

Вот файлы репорта, файлы карантина не умещаются по максимальному размеру по отправке.

Reports.rar

safety

safety

Опубликовано
Опубликовано (изменено)

Судя по отчету папка с телом самого шифровальщика не найдена, только установщик.

            <Event2 Action="Detect" Time="133990313599522976" Object="D:\Users\user\AppData\Roaming\encryptor.exe" Info="Trojan-Ransom.Win32.Mimic.av" />

 

проверьте, есть ли такая папка на системном диске зашифрованного устройства:

C:\Users\user\AppData\Local

в этой папке должен быть скрытый каталог примерно с таким шаблоном имени

BEE6758E-F327-E2B2-61BC-F522FEE8BC0C

Если такая папка есть, заархивируйте папку с паролем virus, добавьте архив в ваше сообщение.

Изменено пользователем safety
Владислав Эпштейн

Владислав Эпштейн

Опубликовано
  • Автор
Опубликовано
22 минуты назад, safety сказал:

Судя по отчету папка с телом самого шифровальщика не найдена, только установщик.

            <Event2 Action="Detect" Time="133990313599522976" Object="D:\Users\user\AppData\Roaming\encryptor.exe" Info="Trojan-Ransom.Win32.Mimic.av" />

 

проверьте, есть ли такая папка на системном диске зашифрованного устройства:

C:\Users\user\AppData\Local

в этой папке должен быть скрытый каталог примерно с таким шаблоном имени

BEE6758E-F327-E2B2-61BC-F522FEE8BC0C

Ни в Local ни в Temp примерного не вижу, сделал фото

IMG_20250811_141202.jpg

IMG_20250811_141532.jpg

safety

safety

Опубликовано
Опубликовано (изменено)

Логи FRST можете сделать из этой системы? активного шифрования в ней нет уже. Заодно и систему дочистим.

Обратите внимание, что папка может быть с атрибутом скрытый, и у вас может быть в проводнике не видна.

Изменено пользователем safety
Владислав Эпштейн

Владислав Эпштейн

Опубликовано
  • Автор
Опубликовано
Только что, safety сказал:

Логи FRST можете сделать из этой системы? активного шифрования в ней нет уже. Заодно и систему дочистим.

К сожалению система не стартует после зачистки KVRT по этому и продолжаю использовать диск установленный в хабе по usb.
Сейчас попробую запустить через "костыль"

safety

safety

Опубликовано
Опубликовано (изменено)
4 минуты назад, Владислав Эпштейн сказал:

К сожалению система не стартует после зачистки KVRT

судя по тем детектам и очистке файлов, которые есть в отчете KVRT - данная очистка не не должна быть причиной проблемы с загрузкой системы. Что то другое.

Пробуйте в безопасный режим с поддержкой сети загрузить ее.

Изменено пользователем safety
Владислав Эпштейн

Владислав Эпштейн

Опубликовано
  • Автор
Опубликовано
1 минуту назад, safety сказал:

судя по тем детектам и очистке файлов, которые есть в отчете KVRT - данная очистка не не должна быть причиной проблемы с загрузкой системы. Что то другое.

Запустилось, только после того как подкинул костыль в загрузчик. Мне безопасно вставлять флешки на эту систему? Потому что пишу с машины которая напрямую связана сервером, не очень хотелось бы подвергать опасности всю работу

safety

safety

Опубликовано
Опубликовано (изменено)

Думаю, да. Шифровальщик не должен быть активен. Можете так же проверить есть ли подозрительные процессы на зашифрованном устройстве, прежде чем подключить флэшку.

Изменено пользователем safety
Владислав Эпштейн

Владислав Эпштейн

Опубликовано
  • Автор
Опубликовано
6 минут назад, safety сказал:

Думаю, да. Шифровальщик не должен быть активен.

 

Addition.txt FRST.txt

safety

safety

Опубликовано
Опубликовано (изменено)

Эта папка о которой я писал выше. Она не в *Temp, а просто в *Local, и имеет скрытый атрибут.

Цитата

2025-08-04 11:55 - 2024-09-25 03:50 - 000000000 __SHD C:\Users\user\AppData\Local\CBCC2F73-486B-99BF-77E7-15F0E0C2CC5E

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\...\Run: [browser.exe] => C:\Users\user\AppData\Local\HowToRestoreFiles.txt [4086 2025-08-04] () [Файл не подписан]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] All your files have been stolen! You still have the original files, but they have been encrypted.
IFEO\EOSNOTIFY.EXE: [Debugger] *
IFEO\InstallAgent.exe: [Debugger] *
IFEO\MusNotification.exe: [Debugger] *
IFEO\MUSNOTIFICATIONUX.EXE: [Debugger] *
IFEO\remsh.exe: [Debugger] *
IFEO\SIHClient.exe: [Debugger] *
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\UpdateAssistant.exe: [Debugger] *
IFEO\UPFC.EXE: [Debugger] *
IFEO\UsoClient.exe: [Debugger] *
IFEO\WaaSMedic.exe: [Debugger] *
IFEO\WaasMedicAgent.exe: [Debugger] *
IFEO\Windows10Upgrade.exe: [Debugger] *
IFEO\WINDOWS10UPGRADERAPP.EXE: [Debugger] *
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IsReadOnly.vbs [2025-06-23] () [Файл не подписан]
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
2025-08-04 11:39 - 2025-08-04 11:39 - 000000000 ____D C:\temp
2025-08-04 10:49 - 2025-08-04 10:49 - 000000000 ____D C:\ProgramData\Avast Software
2025-08-04 11:55 - 2024-09-25 03:50 - 000000000 __SHD C:\Users\user\AppData\Local\CBCC2F73-486B-99BF-77E7-15F0E0C2CC5E
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Gighall
      Помощь с шифровальщиком .09yum1_p2k
      Автор Gighall
      Здравствуйте, у нас файлы зашифрованы в системе, с расширением "*09yum1_p2k", файлы прикрепляем, что требуется сделать в нашем случае? Прочитав форум, попытался вставить скрпит в программу FRST по очистке системы, результата не дало, понимаю что в правилах указано этого лучше не делать. Компьютер не можем ни перезагрузить, ни воспользоваться поиском, при попытке перезагрузки пишет - "Нет доступных вариантов управления электропитанием" . Единственное что при открытии зашифрованных файлов, теперь пишет "Не удаётся найти файл С:\temp\HowToRestoreFiles.txt. Вы хотите создать новый файл с таким именем?" Выкуп никакой не делали, есть ли вероятность вернуть файлы?
      HowToRestoreFiles.txt4.32 kB · 1 загрузка л6.jpg.zip716.07 kB · 1 загрузка
    • Comrade Steel
      Шифровальщик с расширением .ke2kbh3_p2k
      Автор Comrade Steel
      На почту поступило письмо, во вложении архив с файлом .bat
      После запуска документы (docx, xlsx и т.п., при этом, например, .rtf остались не задетыми), а также файлы изображений исчезли/заменены файлами в формате ".ke2kbh3_p2k", которые открываются как текстовый документ с информацией о краже данных и информацией для оплаты.
      Зашифровано большинство документов на внутреннем жестком диске, а также одна папка на сервере (вероятнее всего та, в которой велась работа).
      Проведено поверхностное сканирование при помощи KVRT, найден HEUR:Trojan.Multi.Ifeodeb.a - во избежание дальнейшего вмешательства пропущен.
      Судя по всему - при первом запуске вируса он отключил антивирус, а также закрыл заметную часть запущенных программ.
      virus.7z Addition.txt FRST.txt пример зашифрованных файлов + текстовка требований.7z
    • alex789z
      Помощь с шифровальщиком .09yum1_p2k
      Автор alex789z
      Добрый вечер! Поймали шифровальщик с окончанием .09yum1_p2k. Заплатили выкуп, прислали дешифратор, запустили он отработал, но случился какой-то сбой и расшифровалась только часть файлов, а именно то что было на флешке, а то что было на диске С так и осталось. Прикладываю сам дешифратор и файлы с диска С. Пожалуйста помогите с данной проблемой. 
      договора 2023г.zip договора с полигоном 2016.zip decryptor.zip
    • Андрей St
      Помогите пожалуйста. Все ваши файлы украдены! Оригинальные файлы остались у вас, но были зашифрованы.
      Автор Андрей St
      Здравствуйте!
       
      Помогите пожалуйста расшифровать файлы, сотрудник поймал вирус на рабочем компьютере, ничего не работает, на пк две винды, приходится заходить с рабочей, интернет отключен, каким то образом вирус снес еще и электронный почтовый ящик, пишет что логина не существует(((
       
      Надеюсь на вашу помощь. Спасибо.
       
       


      Virus.rar Virus текст.rar Addition.txt FRST.txt
    • Илья2007
      На синем экране ноутбука следующая надпись: Ваши файлы украдены! Оригинальные файлы остались у вас, но были зашифрованы...
      Автор Илья2007
      Сегодня, в процессе работы, появилось такое сообщение на экране ноутбука. Ничего особенного не делал, файлы, которые открывал из электронки, были связаны с работой (PDF файлы). Подтормаживать ноутбук стал еще пару дней назад, мне это показалось странным. Сегодня, перед появлением этого экрана, несколько раз появлялись маленькие окна с сообщениями об ошибках. Помогите, пожалуйста, решить данную проблему, ну или укажите путь, в каком направлении надо действовать.

×
×
  • Создать...