Перейти к содержанию

Шифровальщик Trojan.Ransom.win32.Rotor.b - нужна помощь в дешифровке

Сергей Коломийченко

От Сергей Коломийченко
в Помощь в борьбе с шифровальщиками-вымогателями

 Share

Рекомендуемые сообщения

Сергей Коломийченко Новичок

Сергей Коломийченко

Опубликовано
Опубликовано (изменено)

Trojan.Ransom.win32.Rotor.b - застал этого паразита в процессе шифрования, завершил его из диспетчера задач, есть надежда на то, что он не успел затереть ключи шифрования, только бы знать где их искать и чем. Файлы имеют вид: GDIPFONTCACHEV1.DAT.___ELIZABETH7@PROTONMAIL.COM____ , в наличии имеются шифрованные файлы, их оригиналы и ехе"шник вируса, буду рад любому полезному совету в правильном направлении.

Приложил архив с оригинальным и шифрованным файлом

 

Строгое предупреждение от модератора thyrex
Не прикрепляйте вредоносных вложений

CollectionLog-2016.10.28-18.12.zip

Desktop.rar

Изменено пользователем Сергей Коломийченко
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Вообще логи нужно делать не через терминальную сессию. 

 

 

  1. Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!!!Внимание.
Если у вас установлены архиваторы
WinRAR
или
7-Zip
, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.

!!! Обратите внимание
, что утилиты необходимо запускать от имени Администратора. По умолчанию в
Windows XP
так и есть. В
Windows Vista
и
Windows 7
администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
Запуск от имени Администратора
, при необходимости укажите пароль администратора и нажмите
"Да"
.

Ссылка на комментарий
Поделиться на другие сайты
Сергей Коломийченко Новичок

Сергей Коломийченко

Опубликовано
  • Автор
Опубликовано

Вообще логи нужно делать не через терминальную сессию

сейчас нету возможности подключиться консольно.

WIN-VRUTSUDIEQE_2016-10-30_16-21-30.7z

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано 


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
breg
 
zoo %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\GOOGLE\GWWABPFL.EXE
 

Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл мне на почту. 
 

 

Ссылка на комментарий
Поделиться на другие сайты
Сергей Коломийченко Новичок

Сергей Коломийченко

Опубликовано
  • Автор
Опубликовано (изменено)

@mike 1

без скрипта подойдет?

 

отправил

Изменено пользователем Сергей Коломийченко
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано 




;uVS v3.87 [http://dsrt.dyndns.org]

;Target OS: NTv6.1

v385c

addsgn 9252775A156AC1CC0B84514E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.Encoder.1214 [DrWeb]

 

zoo %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\GOOGLE\GWWABPFL.EXE

bl 3C7C58CA951EA898315EFFCAA1B0760A 13824

chklst

delvir


 

Сделайте новый лог uVS.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Теперь пишите запрос  https://forum.kasperskyclub.ru/index.php?showtopic=48525 .  К запросу приложите архив ZOO.zip и несколько файлов в архиве.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Юрий Ч
      Шифровальщик с расширением .pussylikeashavel-VDwOdhMlTSSzwonBISwPaN-iUT48ohlKrYg8yifZcRQ
      От Юрий Ч
      1
    • Saul
      Шифровальщик. Расширение aiLuw2ie
      От Saul
      Добрый день!
      Вот такое поймали, зашифрованы все файлы на сетевой шаре.
      Есть способы для расшифровки?
       
      Все ваши файлы были зашифрованы!
          Все ваши файлы были зашифрованы из -за проблемы безопасности с вашим ПК.
          Если вы хотите их восстановить
          Установите программу для общения https://tox.chat/clients.html
      https://github.com/uTox/uTox/releases/
      https://github.com/uTox/uTox/releases/download/v0.18.1/utox_x86_64.exe
      и добавьте нас
       
      2C6D0C2F49F19EAE34A558AC646E5C75230928DA64B46DBD6087B036ED651146575435EFEFFC
      ВНИМАНИЕ!
          !!!Не трогайте зашифрованные файлы.!!!
          !!!Не пытайтесь расшифровать ваши данные, используя стороннее программное обеспечение, это может вызвать потерю данных.!!!
      1.zip
    • Мимохожий
      Поймали Trojan.Encoder.31074 (Lockbit 3)
      От Мимохожий
      Поймали Trojan.Encoder.31074 (Lockbit 3).
      Просим помощи в расшифровке
      Файл вируса в архиве имеется.
      Убиты все сервера компании.
       
      Mimo.rar
    • SS78RUS
      Атаковали через уязвимость NAS
      От SS78RUS
      Добрый вечер. 
      С нами случилась ситуация 1в1 с вышеописанной. NAS Zyxel 326 со всеми патчами, отключены все выходы во внешнюю сеть, работал только как локальное хранилище, всё равно атаковали через уязвимость самого NAS -создали облачного пользователя, которого даже удалить не могу.
      Подскажите, какой вариант с починкой файлов? Заранее спасибо.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Din
      Есть приватный ключ
      От Din
      Есть приватный ключ, подскажите как и чем расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...