Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Шифровальщик, помогите с расшифровкой

ВасяАкрил988

Автор ВасяАкрил988
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

ВасяАкрил988

ВасяАкрил988

Опубликовано
Опубликовано

Сегодня с утра обнаружили, что все важные файлы зашифрованы. На экране написано All your files are encrypted.

На рабочем столе находится файл ZerSrv@mail2tor.co.exe. Сканирование показывает наличие HEUR:Trojan.Win32.Generic. Файл заархивировал с паролем virus

 

Возможно как-то расшифровать файлы?

 

image.thumb.png.9341bb433e9610aad01e8247c3e25ca9.png

 

ZerSrv@mail2tor.co.zip

safety

safety

Опубликовано
Опубликовано (изменено)

Судя по зашифрованному файлу, это C77L:

image.png

 

Результат проверки файла:

ZerSrv@mail2tor.co.exe

https://www.virustotal.com/gui/file/2fd1a5b6e70512478c6682d3bda89cdb9de8331a60b9811203c988f70423d833/detection

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
2025-05-31 17:04 - 2025-05-31 17:04 - 002359350 _____ C:\ProgramData\Eclipse.bmp
2025-05-31 17:04 - 2025-05-31 17:04 - 000000814 _____ C:\READ-ME-ZerSrv.txt
2025-05-30 16:40 - 2025-05-31 17:04 - 000000814 _____ C:\Users\READ-ME-ZerSrv.txt
2025-05-30 16:40 - 2025-05-31 17:04 - 000000814 _____ C:\Users\Public\READ-ME-ZerSrv.txt
2025-05-30 16:40 - 2025-05-31 17:04 - 000000814 _____ C:\Users\Public\Downloads\READ-ME-ZerSrv.txt
2025-05-30 16:40 - 2025-05-31 17:04 - 000000814 _____ C:\Users\Public\Documents\READ-ME-ZerSrv.txt
2025-05-30 16:40 - 2025-05-31 17:04 - 000000814 _____ C:\Users\Public\Desktop\READ-ME-ZerSrv.txt
2025-05-30 16:40 - 2025-05-31 17:04 - 000000814 _____ C:\ProgramData\READ-ME-ZerSrv.txt
2025-05-30 16:40 - 2025-05-31 17:04 - 000000814 _____ C:\Program Files (x86)\READ-ME-ZerSrv.txt
2025-05-30 16:40 - 2025-05-31 17:03 - 000000814 _____ C:\Program Files\READ-ME-ZerSrv.txt
2025-05-30 16:40 - 2025-05-31 17:03 - 000000814 _____ C:\Program Files\Common Files\READ-ME-ZerSrv.txt
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [200]
FirewallRules: [{925CBF5C-929D-4060-BC78-7DCBFE623155}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{9F9E6D4C-2A64-47B0-A4AA-F6F518FFABF1}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{AA17255D-590C-4351-BAB1-6878309EE967}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{851B5363-DE6F-4285-98F8-3F0D101FF06C}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{AF4DF200-C298-4F5B-BFB0-06B1ACDBFF50}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{B2C7B6EA-480B-41EB-8DFB-010020DFEFB4}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Сергей Сергеевич_рн
      Шифровальщик
      Автор Сергей Сергеевич_рн
      Компьютер был взломан вирусом-шифровальщиком, все файлы на двух дисках перестали открываться, диск D очистил и установил новую ОС, на диске С так и лежит зараженная ОС с зашифрованными файлами, расширение некоторых файлов поменялось некоторых не поменялось, но в каждой папке появился файл .txt с указанием почты хакеров. Вопрос в том, как расшифровать файлы, что за вирус
      Индивидуальный проект.odp.[ID-82F537F3][emmo.encrypt@onionmail.org].zip #Restore-My-Files.txt
    • stalkhunter
      Словил шифровальщика - Trojan-Ransom.Win64.Generic
      Автор stalkhunter
      Зашифрованы файлы по определению касперского Trojan-Ransom.Win64.Generic. Во вложении один из файлов щшифровщиков
      Addition.txt FRST.txt READ-ME.txt Плат поруч. 23.11.12 26 566=02.doc.[mrdarkness@onionmail.org].rar 86.rar
    • KONDORNV
      Шифровальщик C77L - Nullhexxx
      Автор KONDORNV
      Такая же проблема! Ночью видимо подобрали пароль к RDP и подселили шифровальщика. машин 8 пострадало, в том числе и файловое хранилище. С чего начать? Помочь можно?
       
      Сообщение от модератора thyrex Перенесено из темы
    • varzi_73
      Троян trojan.multi.aum
      Автор varzi_73
      Добрый день! подцепил троян. Как восстановить данные?
      RDesk_Backup.rar
    • PsuchO
      Поймал шифровальщик X77C, лёг весь прод, слёзно прошу помощи
      Автор PsuchO
      Всем привет, намедне поймал шифровальщик X77C, эта скотина успела побить все файлы, до которых дотянулась.
      В итоге у всех файлов изменились имена tb73.8382_front.psd.[ID-BAE12624][recovery-data09@protonmail.com].mz4, а оригинал вот tb73.8382_front.psd
      Плюсом к этому в каждой папке лежал тектовик со следующим описанием
       
      Открыл зашифрованный ps1 скрипт и вот что внутри
       
      Всё это на виртуалках на удалённом хосте, при этом странно, что сам хост не заразили, а вот виртуалки внутри него - заразили, как это вышло и почему, фиг знает.
      Поэтому подрубить проверяльщики через внешние USB и прочее не получится, как я понимаю. Буду рад любым советам и любой помощи.
      Прикладываю зашифрованный файл
      Front.psd.[ID-BAE12624][recovery-data09@protonmail.com].mz4.zip
×
×
  • Создать...