Перейти к содержанию

Шифровальщик mr.anders@protonmail.com

WhoIsIt
 Поделиться

Рекомендуемые сообщения

WhoIsIt

WhoIsIt

Опубликовано
Опубликовано

Добрый день.

 

Один из сотрудников в офисе подхватил вирус-шифровальщик из электронной почты. Заметили достаточно поздно, файлы успели зашифроваться с расширением "*.neitrino", в каждом каталоге на диске создан текстовый файл "MESSAGE.txt" со следующим содержимым:

"Запросить стоимость декриптора можно, написав письмо на адрес: mr.anders@protonmail.com

В ТЕМЕ письма укажите ваш ID: хххххххххх

Письма без указания ID игнорируются.

Убедительная просьба не пытаться расшифровать файлы сторонними инструментами.

Вы можете их окончательно испортить и даже оригинальный декриптор не поможет.

Приобрести декриптор можно до хх.хх.хххх

Заявки обрабатываются автоматической системой".

 

Сложность в том, что этот пользователь зараженного компьютера переслал письмо с вирусом другому сотруднику и на руках теперь 2-а зашифрованных компьютера одним и тем же шифровальщиком. К письму прикрепляю логи от первого компьютера.

 

Прошу помочь дешифровать информацию на компьютере.

 

CollectionLog-2017.01.16-11.23.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Логи сделаны в терминальной сессии, сделайте их из консоли.

Sandor

Sandor

Опубликовано
Опубликовано

Включите Восстановление системы.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Включите Восстановление системы.

По-прежнему не включено. Включите.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
2017-01-13 16:57 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\ира\Мои документы\MESSAGE.txt
2017-01-13 16:57 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\ира\Главное меню\Программы\MESSAGE.txt
2017-01-13 16:57 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\ира\Главное меню\MESSAGE.txt
2017-01-13 16:56 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\ира\MESSAGE.txt
2017-01-13 16:56 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\ира\Local Settings\MESSAGE.txt
2017-01-13 16:56 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\ира\Local Settings\Application Data\MESSAGE.txt
2017-01-13 16:56 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\ира\Application Data\MESSAGE.txt
2017-01-13 16:56 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\All Users\Application Data\MESSAGE.txt
2017-01-13 14:57 - 2017-01-13 14:57 - 00001088 ___RH C:\Documents and Settings\ира\Application Data\RUC73-03KHX-GOTXX-FGATX-RTARG-TXHKA-FHTXR-RGYYY.KEY
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

WhoIsIt

WhoIsIt

Опубликовано
  • Автор
Опубликовано

Понятно, спасибо. Если возможно, дайте, пожалуйста, чуть более развернутый ответ. Просто за компьютером в течении дня работал человек, мог ли он усугубить проблему или у вируса-шифровальщика был задействован алгоритм шифрования, для которого нет еще дешифровщика?

Sandor

Sandor

Опубликовано
Опубликовано

для которого нет еще дешифровщика?

Именно так.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • PaNikVL
      Зашифровано .neitrino
      Автор PaNikVL
      Всем хорошего дня. В MS Outlook пришло письмо с резюме "Юлия, резюме менеджера.docx". Сотрудница умудрилась открыть. В результате файлы ноутбука с прикрепленной флешкой оказались зашифрованы. Лечение и сканирование пока не проводилось. собраны логи. прилагаю их и сопутствующие файлы.
      CollectionLog-2017.02.14-10.23.zip
      MESSAGE.txt
    • Юлия Т
      Neitrino. с почты "yulya" <tad_stiver_1996@inbox.ru> "Резюме на вакантную должность"
      Автор Юлия Т
      А можно тоже узнать,что с моими файлами и можно ли их восстановить?
      KL_syscure.zip
    • Алексей Милкин
      Поймал шифровальщик neitrino на сервере
      Автор Алексей Милкин
      Коллеги, помогите расшифровать файлы зашифрованные neitrino
       
      Пришло на почту резюме docx, открыл на локальном ноутбуке и потом обнаружил переименованные файлы .neitrino
       
      Проверил на вирусы с помощью eNod32, dr.Web, Касперским, вроде  почистил.
       
      Зараженный файл оставил. 
       
      Сделал - "Для диагностики Вашего компьютера консультантам на форуме требуются протокол исследования системы собранный с помощью утилиты AVZ"
       
      Помогите расшифровать файлы.
       
       
      KL_syscure.zip
    • АлексейС
      Шифровальщик .netrino
      Автор АлексейС
      Добрый, день сегодня с утра начали шифроваться файлы с расширением .netrino.
      CollectionLog-2017.01.12-13.32.zip
    • Евгений M1
      Шифровальщик зашифровал файлы doc xls jpg и тд
      Автор Евгений M1
      Зашифрованы файлы, добавилось расширение .neitrino, письмо для расшифровки просят отправить вот сюда mr.anders@protonmail.com
      Тотал секьюрити после сканирования проблем на нашел, KVRT тоже.

      Вот логи AutoLogger
       
      Так же прикрепил файлы FRST
      CollectionLog-2017.05.23-14.23.zip
      Addition.txt
      FRST.txt
      Shortcut.txt
×
×
  • Создать...