Перейти к содержанию

Шифровальщик Trojan.Ransom.win32.Rotor.b - нужна помощь в дешифровке

Сергей Коломийченко

Автор Сергей Коломийченко
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Сергей Коломийченко

Сергей Коломийченко

Опубликовано
Опубликовано (изменено)

Trojan.Ransom.win32.Rotor.b - застал этого паразита в процессе шифрования, завершил его из диспетчера задач, есть надежда на то, что он не успел затереть ключи шифрования, только бы знать где их искать и чем. Файлы имеют вид: GDIPFONTCACHEV1.DAT.___ELIZABETH7@PROTONMAIL.COM____ , в наличии имеются шифрованные файлы, их оригиналы и ехе"шник вируса, буду рад любому полезному совету в правильном направлении.

Приложил архив с оригинальным и шифрованным файлом

 

Строгое предупреждение от модератора thyrex
Не прикрепляйте вредоносных вложений

CollectionLog-2016.10.28-18.12.zip

Desktop.rar

Изменено пользователем Сергей Коломийченко
Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано

Вообще логи нужно делать не через терминальную сессию. 

 

 

  1. Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!!!Внимание.
Если у вас установлены архиваторы
WinRAR
или
7-Zip
, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.

!!! Обратите внимание
, что утилиты необходимо запускать от имени Администратора. По умолчанию в
Windows XP
так и есть. В
Windows Vista
и
Windows 7
администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
Запуск от имени Администратора
, при необходимости укажите пароль администратора и нажмите
"Да"
.

Ссылка на комментарий
Поделиться на другие сайты
Сергей Коломийченко

Сергей Коломийченко

Опубликовано
  • Автор
Опубликовано

Вообще логи нужно делать не через терминальную сессию

сейчас нету возможности подключиться консольно.

WIN-VRUTSUDIEQE_2016-10-30_16-21-30.7z

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано 


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
breg
 
zoo %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\GOOGLE\GWWABPFL.EXE
 

Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл мне на почту. 
 

 

Ссылка на комментарий
Поделиться на другие сайты
Сергей Коломийченко

Сергей Коломийченко

Опубликовано
  • Автор
Опубликовано (изменено)

@mike 1

без скрипта подойдет?

 

отправил

Изменено пользователем Сергей Коломийченко
Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано 




;uVS v3.87 [http://dsrt.dyndns.org]

;Target OS: NTv6.1

v385c

addsgn 9252775A156AC1CC0B84514E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.Encoder.1214 [DrWeb]

 

zoo %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\GOOGLE\GWWABPFL.EXE

bl 3C7C58CA951EA898315EFFCAA1B0760A 13824

chklst

delvir


 

Сделайте новый лог uVS.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано

Теперь пишите запрос  https://forum.kasperskyclub.ru/index.php?showtopic=48525 .  К запросу приложите архив ZOO.zip и несколько файлов в архиве.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • kov44
      Помощь в дешифровке restore1_helper@gmx.de
      Автор kov44
      Добрый день! Несколько компьютеров в сети подверглись атаке вируса-шифровальщика. Вымогатель предлагает осуществить выкуп за помощь с дешифровкой за биткоины.
      Файлы были переименованы, в конце каждого суффикс "id[e2bdbcde-3259].[restore1_helper@gmx.de].Banta"
      Кто-нибудь сталкивался? Возможно дешифровка данных файлов
      Вот архив, в нем зашифрованные файлы, а также два файла info с требованием о выплате выкупа
      virus.rar
    • VNDR
      Вымогальщик. Нужна помощь с расшифровкой.
      Автор VNDR
      Ребята, здравствуйте. Нужна помощь, бухгалтер скачала файл, после этого весь сервер зашифровался. Как расшифровать? На пк база 1с.
      Файлы прикладываю.
      Просим помощи!
      HowToRestoreFiles.txt Новая папка (4).rar
    • Павел Бурдейный
      Помощи с шифровальщиком
      Автор Павел Бурдейный
      Сегодня схватили шифровальщика. Имя файла изменилось на Лист Microsoft Office Excel.xlsx.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK . Прошу помочь в решении проблемы
      Лист Microsoft Office Excel.xlsx
    • itz
      Помощь с определением шифровальщика
      Автор itz
      Добрый день, помогите пожалуйста с определением типа шифровальщика и возможности расшифровать данные файлы. Прилагаю несколько файлов в архиве и записку с требованиями
      bNch5yfLR.README.txt шифровальщик.rar
    • imagic
      Нужна помощь с [restore1_helper@gmx.de].Banta
      Автор imagic
      Парни,
      Помогите справится с монстром!
×
×
  • Создать...