Перейти к содержанию

Пойман шифровальщик breaking_bad

PAvelK
 Поделиться

Рекомендуемые сообщения

PAvelK

PAvelK

Опубликовано
Опубликовано

Доброго времени суток. Сотрудник поймал шифровальщика breaking_bad. Все фвайлы превратились примерно в это:

 

1OrCtXruH0A-uLNUS+JpKmxLuRHgXAE4RtKZOFJRkyo=.B96273AC49247C112FC4.breaking_bad

 

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
B96273AC49247C112FC4|0
на электронный адрес files1147@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
B96273AC49247C112FC4|0
to e-mail address files1147@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.

 

Направляю лог! Заранее благодарю!

CollectionLog-2015.12.10-14.39.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five

Roman_Five

Опубликовано
Опубликовано
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:



2015-12-10 08:07 - 2015-12-10 08:07 - 00000839 _____ C:\README8.txt

2015-12-10 08:07 - 2015-12-10 08:07 - 00000839 _____ C:\README7.txt

2015-12-10 08:07 - 2015-12-10 08:07 - 00000839 _____ C:\README6.txt

2015-12-10 08:07 - 2015-12-10 08:07 - 00000839 _____ C:\README5.txt

2015-12-10 08:07 - 2015-12-10 08:07 - 00000839 _____ C:\README4.txt

2015-12-10 08:07 - 2015-12-10 08:07 - 00000839 _____ C:\README3.txt

2015-12-10 08:07 - 2015-12-10 08:07 - 00000839 _____ C:\README2.txt

2015-12-10 08:07 - 2015-12-10 08:07 - 00000839 _____ C:\README10.txt

2015-12-10 08:07 - 2015-12-10 08:07 - 00000839 _____ C:\README1.txt

2015-12-10 08:06 - 2015-12-10 08:06 - 00000000 ____D C:\Users\Все пользователи\Windows

2015-12-10 08:06 - 2015-12-10 08:06 - 00000000 ____D C:\ProgramData\Windows

 



Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты
PAvelK

PAvelK

Опубликовано
  • Автор
Опубликовано

отправляю файл


Отправил файл. Сейчас обновлю антивирус. К сожалению не смогу проводить "процедуры" с компьютером до понедельника. Огромная благодарность за вашу работу! 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
  • 2 недели спустя...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Алеся Сорокина
      Поймали на компьютере шифровальщик
      Автор Алеся Сорокина
      Операционная система была переустановлена. Письмо и примеры файлов приложили. Пароль на архив virus
      virus.zip
    • alexlaev
      Поймали шифровальщик
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • DrRybkin
      [РЕШЕНО] Поймал Trojan.Packed2.49814
      Автор DrRybkin
      Всем добрый день. Начал замечать, что у меня застывает картинка в браузере и проблема со странной активностью системы.
      Прогнал систему через Cureit, обнаружил вирус-файл caaservices.exe, определен как Trojan.Packed2.49814.
      Cureit переместил в карантин.
      Прогнал сбор логов через FRST64 со стандартными установками после проверки Сurieit. Прикрепляю.
      Помогите избавиться от вируса, пожалуйста.
      FRST.txt Addition.txt
    • DanilDanil
      Поймал на VM шифровальщик. Предположительно Mimic (N3ww4v3)
      Автор DanilDanil
      Словил на VM шифровальщик. GPT в deepsearch предположил, что это mimic ( N3ww4v3) - на основе проанализированных зашифрованных файлов и оставленной злоумышленниками записке. Зашифрованны базы данных. Бэкапов не было...
      Есть ли возможность дешифровать? Вот это оставили злоумышленники. Зашифрованный файл прикрепить не могу, форум ограничивает.
      Important_Notice.txt
    • PsuchO
      Поймал шифровальщик X77C, лёг весь прод, слёзно прошу помощи
      Автор PsuchO
      Всем привет, намедне поймал шифровальщик X77C, эта скотина успела побить все файлы, до которых дотянулась.
      В итоге у всех файлов изменились имена tb73.8382_front.psd.[ID-BAE12624][recovery-data09@protonmail.com].mz4, а оригинал вот tb73.8382_front.psd
      Плюсом к этому в каждой папке лежал тектовик со следующим описанием
       
      Открыл зашифрованный ps1 скрипт и вот что внутри
       
      Всё это на виртуалках на удалённом хосте, при этом странно, что сам хост не заразили, а вот виртуалки внутри него - заразили, как это вышло и почему, фиг знает.
      Поэтому подрубить проверяльщики через внешние USB и прочее не получится, как я понимаю. Буду рад любым советам и любой помощи.
      Прикладываю зашифрованный файл
      Front.psd.[ID-BAE12624][recovery-data09@protonmail.com].mz4.zip
×
×
  • Создать...