Перейти к содержанию
Викторина ко дню рождения Евгения Валентиновича Касперского
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Шифровальщик mr.anders@protonmail.com

WhoIsIt
 Share Подписчики 1

Рекомендуемые сообщения

WhoIsIt

WhoIsIt 0

Опубликовано
Опубликовано

Добрый день.

 

Один из сотрудников в офисе подхватил вирус-шифровальщик из электронной почты. Заметили достаточно поздно, файлы успели зашифроваться с расширением "*.neitrino", в каждом каталоге на диске создан текстовый файл "MESSAGE.txt" со следующим содержимым:

"Запросить стоимость декриптора можно, написав письмо на адрес: mr.anders@protonmail.com

В ТЕМЕ письма укажите ваш ID: хххххххххх

Письма без указания ID игнорируются.

Убедительная просьба не пытаться расшифровать файлы сторонними инструментами.

Вы можете их окончательно испортить и даже оригинальный декриптор не поможет.

Приобрести декриптор можно до хх.хх.хххх

Заявки обрабатываются автоматической системой".

 

Сложность в том, что этот пользователь зараженного компьютера переслал письмо с вирусом другому сотруднику и на руках теперь 2-а зашифрованных компьютера одним и тем же шифровальщиком. К письму прикрепляю логи от первого компьютера.

 

Прошу помочь дешифровать информацию на компьютере.

 

CollectionLog-2017.01.16-11.23.zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 286

Опубликовано
Опубликовано

Включите Восстановление системы.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 286

Опубликовано
Опубликовано

Включите Восстановление системы.

По-прежнему не включено. Включите.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
2017-01-13 16:57 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\ира\Мои документы\MESSAGE.txt
2017-01-13 16:57 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\ира\Главное меню\Программы\MESSAGE.txt
2017-01-13 16:57 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\ира\Главное меню\MESSAGE.txt
2017-01-13 16:56 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\ира\MESSAGE.txt
2017-01-13 16:56 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\ира\Local Settings\MESSAGE.txt
2017-01-13 16:56 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\ира\Local Settings\Application Data\MESSAGE.txt
2017-01-13 16:56 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\ира\Application Data\MESSAGE.txt
2017-01-13 16:56 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\All Users\Application Data\MESSAGE.txt
2017-01-13 14:57 - 2017-01-13 14:57 - 00001088 ___RH C:\Documents and Settings\ира\Application Data\RUC73-03KHX-GOTXX-FGATX-RTARG-TXHKA-FHTXR-RGYYY.KEY
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
WhoIsIt

WhoIsIt 0

Опубликовано
  • Автор
Опубликовано

Понятно, спасибо. Если возможно, дайте, пожалуйста, чуть более развернутый ответ. Просто за компьютером в течении дня работал человек, мог ли он усугубить проблему или у вируса-шифровальщика был задействован алгоритм шифрования, для которого нет еще дешифровщика?

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Tadmin
      [РАСШИФРОВАНО] Помощь с восстановлением файлов после шифровальщика hopeandhonest@smime.ninja
      От Tadmin
      Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов.
      hopeandhonest@smime.ninja.zip
    • DimonD
      [РАСШИФРОВАНО] Поймали шифровальщик
      От DimonD
      Добрый день. Помогите пожалуйста с расшифровкой файлов? так же на сервак ктото споймал эту гадость. 
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • iLuminate
      Подозрение на взлом сервера
      От iLuminate
      Есть подозрение на взлом, так как при переходе C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Администрирование - Ярлык появляется ярлык которые указан на скриншоте.

      FRST.txt Addition.txt
    • JhonD
      шифровальщик Jami_decryptionguy
      От JhonD
      Добрый день, посмотрите, есть ли надежда на восстановление файлов. 
      Addition.txt CONTACT_US.txt FRST.txt АКТ на списание ГСМ.DOCX
    • upvpst
      DCHELP.org
      От upvpst
      Добрый день! В сеть проник зловред подробно описанный по ссылке https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html.
      Возможности зайти на сервер нет, так как файловые системы отображаются как нечитаемые. Пробуем вытащить файлы через R-Studio, Disk Drill и иные утилиты восстановления данных. Сталкивался ли кто-то еще с этими гадами? Есть ли выход?

×
×
  • Создать...