Перейти к содержанию

Шифровальщик Trojan.Ransom.win32.Rotor.b - нужна помощь в дешифровке

Сергей Коломийченко

От Сергей Коломийченко
в Помощь в борьбе с шифровальщиками-вымогателями

 Share

Рекомендуемые сообщения

Сергей Коломийченко Новичок

Сергей Коломийченко

Опубликовано
Опубликовано (изменено)

Trojan.Ransom.win32.Rotor.b - застал этого паразита в процессе шифрования, завершил его из диспетчера задач, есть надежда на то, что он не успел затереть ключи шифрования, только бы знать где их искать и чем. Файлы имеют вид: GDIPFONTCACHEV1.DAT.___ELIZABETH7@PROTONMAIL.COM____ , в наличии имеются шифрованные файлы, их оригиналы и ехе"шник вируса, буду рад любому полезному совету в правильном направлении.

Приложил архив с оригинальным и шифрованным файлом

 

Строгое предупреждение от модератора thyrex
Не прикрепляйте вредоносных вложений

CollectionLog-2016.10.28-18.12.zip

Desktop.rar

Изменено пользователем Сергей Коломийченко
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Вообще логи нужно делать не через терминальную сессию. 

 

 

  1. Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!!!Внимание.
Если у вас установлены архиваторы
WinRAR
или
7-Zip
, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.

!!! Обратите внимание
, что утилиты необходимо запускать от имени Администратора. По умолчанию в
Windows XP
так и есть. В
Windows Vista
и
Windows 7
администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
Запуск от имени Администратора
, при необходимости укажите пароль администратора и нажмите
"Да"
.

Ссылка на комментарий
Поделиться на другие сайты
Сергей Коломийченко Новичок

Сергей Коломийченко

Опубликовано
  • Автор
Опубликовано

Вообще логи нужно делать не через терминальную сессию

сейчас нету возможности подключиться консольно.

WIN-VRUTSUDIEQE_2016-10-30_16-21-30.7z

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано 


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
breg
 
zoo %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\GOOGLE\GWWABPFL.EXE
 

Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл мне на почту. 
 

 

Ссылка на комментарий
Поделиться на другие сайты
Сергей Коломийченко Новичок

Сергей Коломийченко

Опубликовано
  • Автор
Опубликовано (изменено)

@mike 1

без скрипта подойдет?

 

отправил

Изменено пользователем Сергей Коломийченко
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано 




;uVS v3.87 [http://dsrt.dyndns.org]

;Target OS: NTv6.1

v385c

addsgn 9252775A156AC1CC0B84514E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.Encoder.1214 [DrWeb]

 

zoo %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\GOOGLE\GWWABPFL.EXE

bl 3C7C58CA951EA898315EFFCAA1B0760A 13824

chklst

delvir


 

Сделайте новый лог uVS.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Теперь пишите запрос  https://forum.kasperskyclub.ru/index.php?showtopic=48525 .  К запросу приложите архив ZOO.zip и несколько файлов в архиве.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • AJIEKCAHDP
      Нужна помощь, Шифровальщик cyberfear
      От AJIEKCAHDP
      Утром (26.02.2025) Зашифровало абсолютно все.  Помогите пож. 
      26022025.rar
    • TVagapov
      Помощь в дешифровке DarkStar
      От TVagapov
      14 августа вечером на компанию совершена атака шифровальщиком. Заражён контроллер домена, антивирус с обновлёнными базами не среагировал. Часть компьютерв в сети оказались заражены. На заражённых машинах антивирус присутствовал, но при нажатии на иконку в спулере, пункты меню отвечающие за проверку были серыми (недоступными).  На двух машинах при авторизации сработал антивирус, определил HEUR:Trojan-Ransom.Win32.Convagent.gen Объект: \\***.RU\\net;logon\ds.exe
       
      Прикладываю логи сканера, требования, образцы зашифрованых и оригинальных файлов.
       
      Требуется помощь в дешифровке файлов и определении стратегии восстановления и защиты от данного вируса.
      Logs_Files.7z
    • Elly
      Викторина по шифровальщикам и дешифровке. Правила
      От Elly
      Друзья! 
       
      На нашем форуме существует отдельный раздел для борьбы с шифровальщиками, куда нередко обращаются пострадавшие пользователи. Для повышения информированности о данной теме мы создали викторину, посвященную шифровальщикам и методам их дешифровки.
      Данная викторина – это интерактивный тест, который поможет вам разобраться в угрозах, связанных с шифровальщиками. Готовы проверить свои знания и умения в области информационной безопасности? У вас есть возможность помериться силами с другими участниками и узнать, насколько хорошо вы знакомы с утилитами "Лаборатории Касперского" от вирусов-шифровальщиков, указанных на сайте Noransom. Исследуйте разнообразные вопросы о механизмах работы шифровальщиков и приемах, используемых для их нейтрализации. Идеально подходит как для новичков, так и для более опытных пользователей, желающих обновить свои знания.
       
      НАГРАЖДЕНИЕ
      Без ошибок — 1500 баллов Одна ошибка — 1000 баллов Две ошибки — 700 баллов  
      ПРАВИЛА ПРОВЕДЕНИЯ
      Викторина проводится до 20:00 27.01.2025 года (время московское).
      Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины.

      Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователю @kmscom(пользователей @Friend и @Elly включать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответ будет дан в рамках созданной переписки, коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает.

      Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза, применить иные меры (вплоть до блокировки аккаунта) в случае выявления фактов его недобросовестного участия в ней и/или нарушения правил викторины, передачи ответов на викторину иным участникам. При ответе на вопросы викторины запрещается использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса.

      Вопросы по начислению баллов направлять пользователю @Elly через систему личных сообщений в течение 30 дней с момента подведения итогов викторины. Викторина является собственностью клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации клуба запрещено.

      Участие в викторине означает безоговорочное согласие с настоящими правилами. Для перехода к вопросам викторины нажмите ЗДЕСЬ.
    • Alexk6
      Нужна помощь. *.datastore@cyberfear.com
      От Alexk6
      После криворукого админа возникли проблемы. Поймали шифровальщик. Админ сделал терминальный сервер из Win 11 Home на котором работали 6-7 человек, все с админскими правами. Браузером пользовались все с этого сервера. Файлы меньше 8 мб не затронуты. Ссылка на шифрованный файл и его орегинал https://cloud.mail.ru/public/a4nf/zJDX69Qs9
    • Дмитрий71
      Шифровальщик AZOT прошу помощи
      От Дмитрий71
      Шифровальщик AZOT зашифровал сервер 1с и просит денег. Подскажите, существуют ли варианты решения или всё в топку?( 
      в каталоге C:\DEC лежит как предполагаю декриптор 8772-decrypter.rar с паролем 
      Addition.txt FRST.txt
×
×
  • Создать...