chaos Поймал шифровальщика через RDP.

[Ovcharenko.Dm]

Добрый день!

Поймал шифровальщика, помогите расшифровать файлы, если возможно.

FTST прогнал, файлы во вложении, система переустановлена, "старые" данные проверены антивирусом и очищены, не успел заархивировать.

Пару зашифрованных файлов отдельным архивом

Зашифрованные.7z FRST.7z

[Ovcharenko.Dm]

Забыл приложить файл с требованием

read_it.txt

[safety]

Логи сканирования из зашифрованной системы добавьте в архиве, без пароля

[Ovcharenko.Dm]

В первом сообщении архив FRST.zip

[safety]

Имею ввиду эти данные. Логи сохранились?

Цитата

"старые" данные проверены антивирусом и очищены

судя по маркерам в начале и в конце файла похоже на Chaos.

Такой файл не встречался на диске? Номер может быть другим. Архив с паролем.

0771-decrypter.rar

Изменено 19 октября пользователем safety

[Ovcharenko.Dm]

Событие: Обнаружен вредоносный объект
Пользователь: Work\Demonice
Тип пользователя: Активный пользователь
Компонент: Антивирусная проверка
Результат: Обнаружено
Описание результата: Обнаружено
Тип: Троянское приложение
Название: HEUR:Trojan-Ransom.Win32.Generic
Точность: Частично
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: svchost.exe
Путь к объекту: D:\eeeeeeeeeee\Documents and Settings\ovcha\AppData\Roaming
MD5 объекта: 8EB5649FC13F0C3851262784D8A23DC1
Причина: Экспертный анализ
Дата выпуска баз: Вчера, 18.10.2025 15:21:00

 

 

 

Еще был один файл с именем Surprise.exe c таким же описанием

Изменено 19 октября пользователем Ovcharenko.Dm

[safety]

4 минуты назад, Ovcharenko.Dm сказал:

8EB5649FC13F0C3851262784D8A23DC1

Похоже что Chaos.

Compilation Timestamp

2024-10-22 04:02:20 UTC

ESET-NOD32 A Variant Of MSIL/Filecoder.Chaos.C

https://www.virustotal.com/gui/file/4d1741ae2df66cf7b7e71dca62f338ad2a37b6df7682dc8f54c39c1f1ae0eb57

 

акой файл не встречался на диске? Номер может быть другим. Архив с паролем.

0771-decrypter.rar

6 минут назад, Ovcharenko.Dm сказал:

Еще был один файл с именем Surprise.exe c таким же описанием

Тоже добавьте по нему информацию, возможно что хэш другой, и это может быть бэкдор.

Изменено 19 октября пользователем safety

[Ovcharenko.Dm]

Нет, не встречал
запустил поиск

 

Есть еще один диск, но он отсоединенный, возможно на нем найду

 

[safety]

Пример suprise.exe

https://www.virustotal.com/gui/file/a34420684f2cac84d72ed9ce886e22327e8d316cb13b177076b6eac639149499/details

 

Шифрования дисков Bitlocker не было?

[Ovcharenko.Dm]

Не было

 

подключил жесткий диск, каспер сразу нашел 
Событие: Обнаружен вредоносный объект
Пользователь: Work\Demonice
Тип пользователя: Инициатор
Имя приложения: explorer.exe
Путь к приложению: C:\Windows
Компонент: Файловый Антивирус
Описание результата: Обнаружено
Тип: Троянское приложение
Название: HEUR:Trojan-Ransom.Win32.Generic
Точность: Частично
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: surprise.exe
Путь к объекту: E:\
MD5 объекта: 8EB5649FC13F0C3851262784D8A23DC1
Причина: Экспертный анализ
Дата выпуска баз: Сегодня, 19.10.2025 7:23:00

 

12 минут назад, safety сказал:

акой файл не встречался на диске? Номер может быть другим. Архив с паролем.

0771-decrypter.rar

не нашел

[safety]

2 минуты назад, Ovcharenko.Dm сказал:

8EB5649FC13F0C3851262784D8A23DC1

Да, это Chaos.

ESET-NOD32 A Variant Of MSIL/Filecoder.Chaos.C

https://www.virustotal.com/gui/file/4d1741ae2df66cf7b7e71dca62f338ad2a37b6df7682dc8f54c39c1f1ae0eb57

 

 

[Ovcharenko.Dm]

Расшифровать реально?

 

[safety]

Какие файлы были зашифрованы? просто документы или еще и базы?

[Ovcharenko.Dm]

Базы 1с, видео, документы, картинки
но не трогал файлы от 1с "dt", "cf"

[safety]

Проверьте ЛС.