Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Trojan-Ransom.Win32.Generic зашифрованы файлы, расширение .flash

Kotozavr
 Поделиться

Рекомендуемые сообщения

Kotozavr

Kotozavr

Опубликовано
Опубликовано

В понедельник пришел на работу, вся информация на компьютере зашифрована. Виндовс только запускается и браузер.

Kotozavr.zip

safety

safety

Опубликовано
Опубликовано (изменено)

Добавьте так же логи FRST из зашифрованной системы.

На первый взгляд, это похоже на Proxima/BTC=azadi.

+

Если систему сканировали Cureit. KVRT или штатным антивирусом, добавьте отчеты по сканированию, в архиве, без пароля. (Судя по детекту Ransom.Genetik было срабатывание на какой-то файл, возможно что этот файл и есть сэмпл шифровальщика, если возможно - покажите, пожалуйста запись с данным срабатыванием)

 

Изменено пользователем safety
Kotozavr

Kotozavr

Опубликовано
  • Автор
Опубликовано
45 минут назад, safety сказал:

Добавьте так же логи FRST из зашифрованной системы.

На первый взгляд, это похоже на Proxima/BTC=azadi.FRST1.zip

+

Если систему сканировали Cureit. KVRT или штатным антивирусом, добавьте отчеты по сканированию, в архиве, без пароля. (Судя по детекту Ransom.Genetik было срабатывание на какой-то файл, возможно что этот файл и есть сэмпл шифровальщика, если возможно - покажите, пожалуйста запись с данным срабатыванием)

 

FRST сделал. Полное сканирование в Касперском делаю. Долго идёт. Лог быстрой проверки ещё. Я не очень понимаю что конкретно требуется, если не трудно, пишите как совсем новичку.)
Полную проверку тоже выкладываю. на 94% сделано правда. Завтра утром сделаю полную тогда. Надо идти просто..

А конкретного срабатывания не видел. До этого стоял антивирус 360, я его снёс и касперский поставил.

Проверки_27_01.zip

2 минуты назад, Kotozavr сказал:

FRST сделал. Полное сканирование в Касперском делаю. Долго идёт. Лог быстрой проверки ещё. Я не очень понимаю что конкретно требуется, если не трудно, пишите как совсем новичку.)
Полную проверку тоже выкладываю. на 94% сделано правда. Завтра утром сделаю полную тогда. Надо идти просто..

А конкретного срабатывания не видел. До этого стоял антивирус 360, я его снёс и касперский поставил.FRST1.zip

Проверки_27_01.zip 914 B · 0 загрузок

 

safety

safety

Опубликовано
Опубликовано (изменено)

Просьба не цитировать, и так все понятно.

Цитата

А конкретного срабатывания не видел

Я имею ввиду вот этот детект "Ransom.Genetiс" в названии вы откуда взяли? Чье это было срабатывание: 360, или Касперского?

Trojan-Ransom.Win32.Generic --- это более походит на детектирование Касперского, значит в логах обнаружения должна быть запись по этому детекту

+

Добавьте так же логи FRST из зашифрованной системы.

Изменено пользователем safety
Kotozavr

Kotozavr

Опубликовано
  • Автор
Опубликовано

FRST1.zip

Я с зашифрованного компьютера пишу, у меня тут ничего не работает просто.

Сейчас полную проверку сделаю и отдельно выложу логи.

Сработка вот была. В скриншоте видно. Самая нижняя строка.  Не знаю как логи старые сделать просто, вчера вроде как выложил всё что было.

 

Screenshot_1.png

safety

safety

Опубликовано
Опубликовано

Да, это похоже на сэмпл.

Пробуйте его восстановить из карантина, он восстановится в ту же папку, откуда был удален.

Переименуйте файл на расширение *.vexe, добавьте восстановленный файл в архив с паролем virus, загрузите архив в ваше сообщение.

Kotozavr

Kotozavr

Опубликовано
  • Автор
Опубликовано

Пробовал найти утилиту которая может помочь.
Начала искать и вроде как могла что-то дешифровать "Утилита Kaspersky RectorDecryptor для расшифровки файлов после заражения Trojan-Ransom.Win32.Rector". Но как-то стрёмно её запускать на лечение. Там написано что удаляет зашифрованные файлы после расшифровки. А вдруг не расшифрует?
Да и в поддержке касперского сказали что не знают как эта утилита будет работать потому что она бесплатная... Нафига тогда её вообще выкладывать? Не понимаю.

image.png.effd15eac622d86b6ca045330ed07729.png

8 часов назад, safety сказал:

Да, это похоже на сэмпл.

Пробуйте его восстановить из карантина, он восстановится в ту же папку, откуда был удален.

Переименуйте файл на расширение *.vexe, добавьте восстановленный файл в архив с паролем virus, загрузите архив в ваше сообщение.

А он заново не зашифрует мне тут всё? 

 

Не могу его восстановить, он сразу удаляется.

safety

safety

Опубликовано
Опубликовано (изменено)
7 минут назад, Kotozavr сказал:

Пробовал найти утилиту которая может помочь.

Утилит по расшифровке достаточно много, но они предназначены только расшифровки определенного типа.

Нет такого универсального дешифратора который расшифрует все что было зашифровано за несколько лет назад, и новые типы, которые будут в последующие годы.

Вначале надо определять правильно тип шифровальщика, затем уже искать дешифратор для данного типа, если он есть в природе.

 

Цитата

А он заново не зашифрует мне тут всё? 

Не должен, он запускается вручную. Но сразу измените ему расширение.

3 минуты назад, Kotozavr сказал:

Не могу его восстановить, он сразу удаляется.

Временно отключите защиту.

Изменено пользователем safety
Kotozavr

Kotozavr

Опубликовано
  • Автор
Опубликовано

Поменял расширение и всё равно удалился файл

safety

safety

Опубликовано
Опубликовано
Только что, Kotozavr сказал:

Поменял расширение и всё равно удалился файл

Временно отключите защиту антивируса.

Kotozavr

Kotozavr

Опубликовано
  • Автор
Опубликовано (изменено)

вот он

Изменено пользователем safety
архив без пароля удален
safety

safety

Опубликовано
Опубликовано (изменено)

Пароль установили к архиву? Восстановленный файл удалите.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Написано ведь было:

Переименуйте файл на расширение *.vexe, добавьте восстановленный файл в архив с паролем virus, загрузите архив в ваше сообщение.

 

А вы просто архив переименовали.

Пробуйте еще раз сделать архив с паролем.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Дмитрий ddw
      Шифровальщик зашифровал все файлы сервера
      Автор Дмитрий ddw
      Добрый день! Столкнулся с шифровальщиком. Зашифровались все файлы на сервере. ПОмогите с расшифровкой.
      Spf Ransmoware.txt sfr_sert_prod.cer.EMAIL=[owndecrypt@gmail.com]ID=[16E43E4BAEAA08AF].rar
    • gfond
      BlackFL зашифровал файловый сервер
      Автор gfond
      Здравствуйте. Зашифровали файлы, посмотрите пожалуйста что можно предпринять.
      Заражены в локалке два компьютера одновременно. Рабочая станция послужила источником заражения файлсервера под управлением Win10Pro. 
       Файлсервер после заражения перезагружался несколько раз, файлы вирусы касперским помещены в карантин(могу предоставить), однако шифрование произошло.
      Ниже логи согласно инструкции с файлсервера
       
      Docs_plus_redmeBlackField.zip FRST.txt Addition.txt
    • v0ster
      BlackFL зашифровали файлы
      Автор v0ster
      Здравствуйте. Зашифровали файлы, посмотрите пжлста что можно предпринять.
      Desktop.rar FRST.txt Addition.txt
    • Андрей Ф
      помогите понят откуда приешл шифровальщик и можно ли расшифровать BlackField3
      Автор Андрей Ф
      Здравствуйте, дня 4 назад злоумышленники проникли в сеть, зашифровали все сервера ( даже с бэкапами) и пару рабочих станций. расширение файлов BlackFL3
      FRST.txt
      Addition.txt files.zip
    • galant
      Шифровальщик BlackFL
      Автор galant
      Добрый день, сегодня ночью зашифровали все сервера и виртуалки, а точнее диски где они находились, помогите, бекап, который был не в домене тоже зашифрован. Сеть отключил, где то эта фигня гуляет, т.к. локальный ПК пока один из 20 словил у меня на глазах тот же шифровальщик.BlackFL.zip
      ПОМОГИТЕ! я видимо уволен (
      BlackField-ReadMe.txt
      На сервере стоял лицензионный Касперский, 3 раза уде проверил все диски, ничего не находит!
      в зип архиве шифрованные файлы и требование, требование так же приложил отдельно
×
×
  • Создать...