Перейти к содержанию

Поймал шифровальщика через RDP.

Ovcharenko.Dm
 Поделиться

Рекомендуемые сообщения

Ovcharenko.Dm

Ovcharenko.Dm

Опубликовано
Опубликовано

Добрый день!

Поймал шифровальщика, помогите расшифровать файлы, если возможно.

FTST прогнал, файлы во вложении, система переустановлена, "старые" данные проверены антивирусом и очищены, не успел заархивировать.

Пару зашифрованных файлов отдельным архивом

Зашифрованные.7z FRST.7z

safety

safety

Опубликовано
Опубликовано

Логи сканирования из зашифрованной системы добавьте в архиве, без пароля

safety

safety

Опубликовано
Опубликовано (изменено)

Имею ввиду эти данные. Логи сохранились?

Цитата

"старые" данные проверены антивирусом и очищены

судя по маркерам в начале и в конце файла похоже на Chaos.

Такой файл не встречался на диске? Номер может быть другим. Архив с паролем.

0771-decrypter.rar

Изменено пользователем safety
Ovcharenko.Dm

Ovcharenko.Dm

Опубликовано
  • Автор
Опубликовано (изменено)

Событие: Обнаружен вредоносный объект
Пользователь: Work\Demonice
Тип пользователя: Активный пользователь
Компонент: Антивирусная проверка
Результат: Обнаружено
Описание результата: Обнаружено
Тип: Троянское приложение
Название: HEUR:Trojan-Ransom.Win32.Generic
Точность: Частично
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: svchost.exe
Путь к объекту: D:\eeeeeeeeeee\Documents and Settings\ovcha\AppData\Roaming
MD5 объекта: 8EB5649FC13F0C3851262784D8A23DC1
Причина: Экспертный анализ
Дата выпуска баз: Вчера, 18.10.2025 15:21:00

 

 

 

Еще был один файл с именем Surprise.exe c таким же описанием

Изменено пользователем Ovcharenko.Dm
safety

safety

Опубликовано
Опубликовано (изменено)
4 минуты назад, Ovcharenko.Dm сказал:

8EB5649FC13F0C3851262784D8A23DC1

Похоже что Chaos.

Compilation Timestamp
2024-10-22 04:02:20 UTC

ESET-NOD32 A Variant Of MSIL/Filecoder.Chaos.C

https://www.virustotal.com/gui/file/4d1741ae2df66cf7b7e71dca62f338ad2a37b6df7682dc8f54c39c1f1ae0eb57

 

акой файл не встречался на диске? Номер может быть другим. Архив с паролем.

0771-decrypter.rar

6 минут назад, Ovcharenko.Dm сказал:

Еще был один файл с именем Surprise.exe c таким же описанием

Тоже добавьте по нему информацию, возможно что хэш другой, и это может быть бэкдор.

Изменено пользователем safety
Ovcharenko.Dm

Ovcharenko.Dm

Опубликовано
  • Автор
Опубликовано

Нет, не встречал
запустил поиск

 

Есть еще один диск, но он отсоединенный, возможно на нем найду

 

Ovcharenko.Dm

Ovcharenko.Dm

Опубликовано
  • Автор
Опубликовано

Не было

 

подключил жесткий диск, каспер сразу нашел 
Событие: Обнаружен вредоносный объект
Пользователь: Work\Demonice
Тип пользователя: Инициатор
Имя приложения: explorer.exe
Путь к приложению: C:\Windows
Компонент: Файловый Антивирус
Описание результата: Обнаружено
Тип: Троянское приложение
Название: HEUR:Trojan-Ransom.Win32.Generic
Точность: Частично
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: surprise.exe
Путь к объекту: E:\
MD5 объекта: 8EB5649FC13F0C3851262784D8A23DC1
Причина: Экспертный анализ
Дата выпуска баз: Сегодня, 19.10.2025 7:23:00

 

12 минут назад, safety сказал:

акой файл не встречался на диске? Номер может быть другим. Архив с паролем.

0771-decrypter.rar

не нашел

safety

safety

Опубликовано
Опубликовано

Какие файлы были зашифрованы? просто документы или еще и базы?

Ovcharenko.Dm

Ovcharenko.Dm

Опубликовано
  • Автор
Опубликовано

Базы 1с, видео, документы, картинки
но не трогал файлы от 1с "dt", "cf"

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем
×
×
  • Создать...