Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Шифровальщик mr.anders@protonmail.com

WhoIsIt
 Поделиться

Рекомендуемые сообщения

WhoIsIt

WhoIsIt

Опубликовано
Опубликовано

Добрый день.

 

Один из сотрудников в офисе подхватил вирус-шифровальщик из электронной почты. Заметили достаточно поздно, файлы успели зашифроваться с расширением "*.neitrino", в каждом каталоге на диске создан текстовый файл "MESSAGE.txt" со следующим содержимым:

"Запросить стоимость декриптора можно, написав письмо на адрес: mr.anders@protonmail.com

В ТЕМЕ письма укажите ваш ID: хххххххххх

Письма без указания ID игнорируются.

Убедительная просьба не пытаться расшифровать файлы сторонними инструментами.

Вы можете их окончательно испортить и даже оригинальный декриптор не поможет.

Приобрести декриптор можно до хх.хх.хххх

Заявки обрабатываются автоматической системой".

 

Сложность в том, что этот пользователь зараженного компьютера переслал письмо с вирусом другому сотруднику и на руках теперь 2-а зашифрованных компьютера одним и тем же шифровальщиком. К письму прикрепляю логи от первого компьютера.

 

Прошу помочь дешифровать информацию на компьютере.

 

CollectionLog-2017.01.16-11.23.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Логи сделаны в терминальной сессии, сделайте их из консоли.

Sandor

Sandor

Опубликовано
Опубликовано

Включите Восстановление системы.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Включите Восстановление системы.

По-прежнему не включено. Включите.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
2017-01-13 16:57 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\ира\Мои документы\MESSAGE.txt
2017-01-13 16:57 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\ира\Главное меню\Программы\MESSAGE.txt
2017-01-13 16:57 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\ира\Главное меню\MESSAGE.txt
2017-01-13 16:56 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\ира\MESSAGE.txt
2017-01-13 16:56 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\ира\Local Settings\MESSAGE.txt
2017-01-13 16:56 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\ира\Local Settings\Application Data\MESSAGE.txt
2017-01-13 16:56 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\ира\Application Data\MESSAGE.txt
2017-01-13 16:56 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\All Users\Application Data\MESSAGE.txt
2017-01-13 14:57 - 2017-01-13 14:57 - 00001088 ___RH C:\Documents and Settings\ира\Application Data\RUC73-03KHX-GOTXX-FGATX-RTARG-TXHKA-FHTXR-RGYYY.KEY
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

WhoIsIt

WhoIsIt

Опубликовано
  • Автор
Опубликовано

Понятно, спасибо. Если возможно, дайте, пожалуйста, чуть более развернутый ответ. Просто за компьютером в течении дня работал человек, мог ли он усугубить проблему или у вируса-шифровальщика был задействован алгоритм шифрования, для которого нет еще дешифровщика?

Sandor

Sandor

Опубликовано
Опубликовано

для которого нет еще дешифровщика?

Именно так.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • vadimsh
      Вирус шифровальщик green
      Автор vadimsh
      Добрый день!
       
      На компьютер попал вирус шифровальщик, зашифровал практически все форматы файлов (новое расширение .green).
      Есть варианты решения проблемы? Логи в прицепе.
      Addition.txt
      FRST.txt
    • Наталья Пархоменко
      Вирус зашифровал файлы, как решить проблему?
      Автор Наталья Пархоменко
      Добрый день! 
      Сегодня сотрудник принял письмо в котором было резюме в вордовском файле. А в нем был ярлык "два раза кликнуть" картинка под формат pdf, нужно было нажать и открылось резюме в формате pdf. И так запустился вирус. Все файлы с расширение doc, xls, jpg переименовались в "названиефайла.docx.green"
       
      И добавлены текстовые документы с таким текстом:
       
      Унать стоимость декриптора можно, написав письмо на адрес:soldgreens@gmail.com В ТЕМЕ письма УКАЖИТЕ ВАШ ID:4918577755   Убедительная просьба не пытаться расшифровать файлы сторонними инструментами. Вы можете их окончательно испортить и даже оригинальный декриптор не поможет. Обращения принимаются до 14.08.2015 После 14.08.2015 любые обращения будут игнорироваться.   Письма обрабатываются автоматической системой.   Подскажите, пожалуйста - можно восстановить файлы, очень нужно!    CollectionLog-2015.08.11-18.00.zip
    • djazzz
      Вирус зашифровал файлы ОК ООО "Автохолдинг-Ф"
      Автор djazzz
      Зашифрованы файлы на компьютере руководителя отдела кадров. Рядом с зашифрованными файлами появился txt файл с текстом: 
       
      "Унать стоимость декриптора можно, написав письмо на адрес:soldgreens@gmail.com
      В ТЕМЕ письма УКАЖИТЕ ВАШ ID:2797723144 Убедительная просьба не пытаться расшифровать файлы сторонними инструментами. Вы можете их окончательно испортить и даже оригинальный дешифровщик не поможет. Обращения принимаются до 06.08.2015 После 06.08.2015 любые обращения будут игнорироваться. Письма обрабатываются автоматической системой."   Расширение файлов после шифрования .green   Надеемся на скорое решение. Спасибо! MESSAGE.txt
      CollectionLog-2015.08.03-13.59.zip
    • Ярослав Чеботарёв
      Поймал шифровальщик .neitrino. Что можно предпринять?
      Автор Ярослав Чеботарёв
      Поймал шифровальщик .neitrino. Заметил не сразу, т.к. нужные файлы просматривал редко. Что можно предпринять?
    • gmaxbu
      Помогите расшифровать. Все файлы с .neitrino
      Автор gmaxbu
      Помогите расшифровать. 
      Все файлы зашифрованы с расширением .neitrino
      Есть mesage:
      Запросить стоимость декриптора можно, написав письмо на адрес: mr.anders@protonmail.com 
      В ТЕМЕ письма укажите ваш ID: 7755294152
      Письма без указания ID игнорируются.
      Убедительная просьба не пытаться расшифровать файлы сторонними инструментами.
      Вы можете их окончательно испортить и даже оригинальный декриптор не поможет.
      Приобрести декриптор можно до 14.11.2016
      Заявки обрабатываются автоматической системой.
       
      По логам drweb вирус или trojan.encoder 398 
      или trojan.installcore1903
      CollectionLog-2016.11.15-14.15.zip
×
×
  • Создать...