Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Поймал шифровальщик, помогите!!!

Дмитрий Екатеринбург

Автор Дмитрий Екатеринбург
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Дмитрий Екатеринбург

Дмитрий Екатеринбург

Опубликовано
Опубликовано

Доброго дня. Вчера намотал шифровальщик. Вот текст что в текстовом файле-

\\\\ All your files are encrypted... All your files have been encrypted !!! To decrypt them send e-mail to this address : nullhex@2mail.co If you do not receive a response within 24 hours, Send a TOX message Mail2 : nullhexxx@gmail.com INCASE OF NO PAYMENT IN 48 HOURS, THE PRICE WILL DOUBLE !! \\\\ Your ID : !!!!!!  Enter the ID of your files in the subject ! \\\\ What is our decryption guarantee ? Before paying you can send us up to 2 test files for free decryption ! The total size of files must be less than 2Mb.(non archived) ! Files should not contain valuable information.(databases,backups) ! Compress the file with zip or 7zip or rar compression programs and send it to us!

 

Верю, что мир не без добрых людей. 

safety

safety

Опубликовано
Опубликовано

Добавьте несколько зашифрованных файлов + записку о выкупе, в одном архиве без пароля

+

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

Если система была переустановлена, то предупредите консультантов в своей теме об этом.

Дмитрий Екатеринбург

Дмитрий Екатеринбург

Опубликовано
  • Автор
Опубликовано (изменено)

Записка выше. файлы в архиве. Система (ОС) не изменена в целом.

1.zip Addition.txt

Изменено пользователем Дмитрий Екатеринбург
safety

safety

Опубликовано
Опубликовано

Записка нужна в виде файла, с оригинальным названием без изменений.

Логи FRST необходимы полные: FRST.txt и Addition.txt

Дмитрий Екатеринбург

Дмитрий Екатеринбург

Опубликовано
  • Автор
Опубликовано (изменено)

READ-ME.txt

FRST.txt

Изменено пользователем Дмитрий Екатеринбург
safety

safety

Опубликовано
Опубликовано (изменено)

Это что у вас?

2026-02-07 12:27 - 2026-02-07 12:24 - 283741928 _____ C:\Users\Greenchik.AMBUK\Desktop\khiafsdr.exe

Если систему сканировали KVRT, Cureit или штатным антивирусом, добавьте отчеты о сканировании в архиве, без пароля

+

поищите на системном диске папку Pictures\HEX

Если папка найдется, заархивируйте папку с паролем virus, загрузите на облачный диск, и дайте ссылку на загрузку.

 

 

Изменено пользователем safety
Дмитрий Екатеринбург

Дмитрий Екатеринбург

Опубликовано
  • Автор
Опубликовано (изменено)

Архив загружен ссылка удалена.

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано


 

Цитата

 

Это что у вас?

2026-02-07 12:27 - 2026-02-07 12:24 - 283741928 _____ C:\Users\Greenchik.AMBUK\Desktop\khiafsdr.exe

 

?

Цитата

Если систему сканировали KVRT, Cureit или штатным антивирусом, добавьте отчеты о сканировании в архиве, без пароля

?

Pictures\HEX

Покажите содержимое всей папки Pictures

safety

safety

Опубликовано
Опубликовано

Всю папку Pictures заархивируйте с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание

 

по файлу из папки Pictures\HEX

nullhex@2mail.co.exe   - сэмпл шифровальщика заражен вирусом

https://www.virustotal.com/gui/file/f3b85f0d416dc4b20a8857b5717fb894edd74cbe1bf240a51b259b8367e4977c/detection

 

Проверьте систему KVRT или Cureit,добавьте логи сканирования в архиве без пароля.

safety

safety

Опубликовано
Опубликовано (изменено)

Kryptex сами ставили?

F:\Users\Greenchik.AMBUK\Downloads\kryptex-setup-4.32.7.exe - infected - 26ms, 64539920 bytes

 

По очистке системы в FRST

 

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X]
2026-02-07 12:27 - 2026-02-07 12:24 - 283741928 _____ C:\Users\Greenchik.AMBUK\Desktop\khiafsdr.exe
2026-02-07 00:05 - 2026-02-07 00:05 - 011059254 _____ C:\ProgramData\Eclipse.bmp
2026-02-06 23:57 - 2026-02-06 23:57 - 000000736 _____ C:\Windows\sysinfo01.bios
F:\Users\Greenchik.AMBUK\Pictures\hex\
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • tentacruel74
      Шифровальщик C77L
      Автор tentacruel74
      Добрый день.
      Зашифровало несколько серверов, помогите расшифровать.
      требования.rarvirus.rarFRST.txtAddition.txt
    • Rrr43
      Вирус Win64/FileCoder.C!AMTB вымогатель зашифровал файлы
      Автор Rrr43
      ОС Windows 10 
      Утром пользователь увидел сообщение о том что все файлы зашифрованы 
      Windows Defender был выключен, сам вирус был обнаружен в папке пользователя Pictures\hex
      Windows Defender обнаружил две угрозы  Ransom :Win64/FileCoder.C!AMTB и Virus:Win32/Mikcer.B
      ОС не переустанавливал, компьютер не перезагружал, едиственное убил процес Everything.exe из папки с вирусом и удалил папку Hex
      Addition.txt FRST.txt вирус.7z зашифрованные файлы.7z
    • Алексей Ал
      Зашифрованы файлы на нескольких серверах
      Автор Алексей Ал
      Добрый день, возможно ли расшифровать файлы?

      На каждом из серверов в 3 ночи создана папка  с таким содержимым
      "D:\Users\199\Pictures\hex\Everything.exe"
      "D:\Users\199\Pictures\hex\Everything.ini"
      "D:\Users\199\Pictures\hex\nullhex@2mail.co.exe"
      "D:\Users\199\Pictures\hex\READ-ME.txt"
      "D:\Users\199\Pictures\hex\a.bat.[nullhex@2mail.co].F0C04821"
      "D:\Users\199\Pictures\hex\Everything.db"
       
      так же при загрузке одного из серверов вылезла ошибка о не найденном файле 26a77629.vbs в "D:\Users\199\AppData\Local\Temp\"
       
      Прикладываю файлы и результаты анализа по одному из серверов.
      Addition.txt FRST.txt FILE.7z
    • rumslava
      Зашифрован сервер
      Автор rumslava
      Добрый день. Сегодня зашифровали сервер, ориентировочно по RDP.  Сам вирус найти не удалось в файлах. Прикладываю архив с зашифрованными файлами и письмом о выкупе и результаты сканирования. 
      FRST.txt files.rar Addition.txt
    • TAMZAN
      Нужна помощь, заражён сервер и несколько пк Вирусом вымогателем
      Автор TAMZAN
      FRST.txtAddition.txt
      Добрый день утром запустили пк, а на рабочих столах вот такое сообщение с вымогателем, нужна помощь в очистке системы и возможности в дальнейшем в расшифровке файлов. Спасибо
      svr2 logi frst.rar
      SVR2_2026-02-14_15-08-15_v5.0.3v x64.7z
×
×
  • Создать...