Перейти к содержанию

Шифровальщик Trojan.Ransom.win32.Rotor.b - нужна помощь в дешифровке

Сергей Коломийченко

От Сергей Коломийченко
в Помощь в борьбе с шифровальщиками-вымогателями

 Share

Рекомендуемые сообщения

Сергей Коломийченко Новичок

Сергей Коломийченко

Опубликовано
Опубликовано (изменено)

Trojan.Ransom.win32.Rotor.b - застал этого паразита в процессе шифрования, завершил его из диспетчера задач, есть надежда на то, что он не успел затереть ключи шифрования, только бы знать где их искать и чем. Файлы имеют вид: GDIPFONTCACHEV1.DAT.___ELIZABETH7@PROTONMAIL.COM____ , в наличии имеются шифрованные файлы, их оригиналы и ехе"шник вируса, буду рад любому полезному совету в правильном направлении.

Приложил архив с оригинальным и шифрованным файлом

 

Строгое предупреждение от модератора thyrex
Не прикрепляйте вредоносных вложений

CollectionLog-2016.10.28-18.12.zip

Desktop.rar

Изменено пользователем Сергей Коломийченко
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Вообще логи нужно делать не через терминальную сессию. 

 

 

  1. Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!!!Внимание.
Если у вас установлены архиваторы
WinRAR
или
7-Zip
, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.

!!! Обратите внимание
, что утилиты необходимо запускать от имени Администратора. По умолчанию в
Windows XP
так и есть. В
Windows Vista
и
Windows 7
администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
Запуск от имени Администратора
, при необходимости укажите пароль администратора и нажмите
"Да"
.

Ссылка на комментарий
Поделиться на другие сайты
Сергей Коломийченко Новичок

Сергей Коломийченко

Опубликовано
  • Автор
Опубликовано

Вообще логи нужно делать не через терминальную сессию

сейчас нету возможности подключиться консольно.

WIN-VRUTSUDIEQE_2016-10-30_16-21-30.7z

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано 


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
breg
 
zoo %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\GOOGLE\GWWABPFL.EXE
 

Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл мне на почту. 
 

 

Ссылка на комментарий
Поделиться на другие сайты
Сергей Коломийченко Новичок

Сергей Коломийченко

Опубликовано
  • Автор
Опубликовано (изменено)

@mike 1

без скрипта подойдет?

 

отправил

Изменено пользователем Сергей Коломийченко
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано 




;uVS v3.87 [http://dsrt.dyndns.org]

;Target OS: NTv6.1

v385c

addsgn 9252775A156AC1CC0B84514E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.Encoder.1214 [DrWeb]

 

zoo %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\GOOGLE\GWWABPFL.EXE

bl 3C7C58CA951EA898315EFFCAA1B0760A 13824

chklst

delvir


 

Сделайте новый лог uVS.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Теперь пишите запрос  https://forum.kasperskyclub.ru/index.php?showtopic=48525 .  К запросу приложите архив ZOO.zip и несколько файлов в архиве.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Alexk6
      Нужна помощь. *.datastore@cyberfear.com
      От Alexk6
      После криворукого админа возникли проблемы. Поймали шифровальщик. Админ сделал терминальный сервер из Win 11 Home на котором работали 6-7 человек, все с админскими правами. Браузером пользовались все с этого сервера. Файлы меньше 8 мб не затронуты. Ссылка на шифрованный файл и его орегинал https://cloud.mail.ru/public/a4nf/zJDX69Qs9
    • Дмитрий71
      Шифровальщик AZOT прошу помощи
      От Дмитрий71
      Шифровальщик AZOT зашифровал сервер 1с и просит денег. Подскажите, существуют ли варианты решения или всё в топку?( 
      в каталоге C:\DEC лежит как предполагаю декриптор 8772-decrypter.rar с паролем 
      Addition.txt FRST.txt
    • Vopj
      Вирус-майнер PuzzleMedia, нужна помощь в удалении
      От Vopj
      В определенный момент начала возникать большая нагрузка на CPU, возник сильный перегрев. RogueKiller обнаружил PuzzleMedia, CureIt не запускается ввобще, к сожалению по причине отсутствующих навыков, самостоятельно разобраться не получилось, прошу помощи.
      CollectionLog-2024.11.13-21.04.zip
    • tr01
      Нужна помощь с восстановлением файлов
      От tr01
      Добрый день
      Подскажите, пожалуйста, сможете ли вы помочь в ситуации, если сервер в зломали и упаковали файлы в архив rar?После этого был Backdoor, но вроде бы уже удален антивирусом, восстановить файлы с диска не получается (затерты архивами). 
      Addition.txt FRST.txt отчет.txt пароль к архиву - копия (72) — копия — копия.txt
    • КираРи
      Нашла с помощью Dr. Web вирус HOSTS:MALWARE.URL, не знаю как удалить и совсем не разбираюсь в этом, нужна помощь.
      От КираРи
      Я не знаю что нужно прилагать и что должно быть, но вирус удалить или вылечить не смогла даже с помощью Dr. Web, ноутбук пыхтит даже когда не нагружен работой, помогите я не знаю что делать 
×
×
  • Создать...