corbenofheat@cyberfear.com

[Константин Нездиминов]

Здравствуйте. Зашифровали. Прошу посмотреть возможность расшифровки.

В файле Readme_Decryptor.txt только такие строки: "Your files have been encrypted. Contact - corbenofheat@cyberfear.com

Do not modify files - this will damage them. Test decryption - 1 file less 500 Kb."

Зашифрованы первые 0х200000 байт(возможно XOR), остальное содержимое совпадает и в конце зашифрованного файла "хвостик".

Зашифрованный файл и файл образец тут, пароль virus

[safety]

Добавьте несколько небольших зашифрованных файлов и записку о выкупе, в архиве, без пароля

+

добавьте логи FRST согласно правилам оформления запроса о помощи.

[Константин Нездиминов]

В тексте записки только то, что в предыдущем посте. Логи и несколько зашифрованных файлов выложил тут

[safety]

Этот файл не сохранился у вас?

Цитата

%APPDATA%\svcchost.exe

Если попал в карантин антвируса, восстановите его с другим именем, добавьте в архив с паролем virus, приложите архив к вашему сообщению.

[Константин Нездиминов]

Просканировал MFT, запись о файле svcchost.exe отсутствует. Носитель информации — SSD производства компании Samsung, так что даже если бы я нашел этот файл среди удаленных - внутри всё равно были бы нули.

Изменено 13 ноября пользователем Константин Нездиминов

[safety]

А в папке KVRT в отчетах нет обнаружений?

2025-10-19 17:49 - 2025-11-12 13:47 - 000000000 ____D C:\KVRT2020_Data

Добавьте каталог reports отсюда, в архиве,  без пароля.

(Возможно что этот файл svcchost.exe и не является файлом шифровальщика, а запись в реестре в автозапуске была давно, но надо проверить.)

Изменено 13 ноября пользователем safety

[Константин Нездиминов]

Может быть и есть, но отчеты зашифрованы. Каталог добавил

[safety]

т.е. это старые отчеты и были сделаны до текущего щифрования?

а новые проверки в KVRT не выполняли сразу после шифрования?

Изменено 14 ноября пользователем safety

[Константин Нездиминов]

Скачал с сайта утилиту KVRT, вот отчет

[safety]

Пусто, только активаторы.

 

Цитата

Report>
    <Metadata Version="1" PCID="{24E0CCC2-3D6B-083D-03D0-52F1E4763B64}" LastModification="2025.11.14 10:12:54.520" />
    <EventBlocks>
        <Block0 Type="Scan" Processed="2612" Found="1" Neutralized="0">
            <Event0 Action="Scan" Time="134075706768820356" Object="" Info="Started" />
            <Event1 Action="Detect" Time="134075707310283812" Object="C:\Windows\KMSAutoS\KMSAuto x64.exe" Info="HackTool.Win32.KMSAuto.dfc" />
            <Event2 Action="Scan" Time="134075707592188632" Object="" Info="Finished" />
            <Event3 Action="Select action" Time="134075707721366654" Object="C:\Windows\KMSAutoS\KMSAuto x64.exe" Info="Skip" />
        </Block0>
    </EventBlocks>
</Report>

 

[Константин Нездиминов]

Спасибо, тему можно закрывать.

[safety]

Хорошо, случай с данным шифрованием редкий, но не уникальный,

есть упоминание о нем в летописи на форуме bleepingcomputer.com примерно месячной давности.

пока еще и тип не определен.

+

есть подтверждение, что параметр в реестре с этим ключом "%APPDATA%\svcchost.exe " указывает на автозапуск шифровальщика:

это соответствует записи в логах FRST

HKU\S-1-5-21-2235314509-606516928-332622009-1034\...\Run: [MarvelHost] => "%APPDATA%\svcchost.exe

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 18 ноября пользователем safety