Перейти к содержанию

Шифровальщик mr.anders@protonmail.com

WhoIsIt
 Поделиться

Рекомендуемые сообщения

WhoIsIt

WhoIsIt

Опубликовано
Опубликовано

Добрый день.

 

Один из сотрудников в офисе подхватил вирус-шифровальщик из электронной почты. Заметили достаточно поздно, файлы успели зашифроваться с расширением "*.neitrino", в каждом каталоге на диске создан текстовый файл "MESSAGE.txt" со следующим содержимым:

"Запросить стоимость декриптора можно, написав письмо на адрес: mr.anders@protonmail.com

В ТЕМЕ письма укажите ваш ID: хххххххххх

Письма без указания ID игнорируются.

Убедительная просьба не пытаться расшифровать файлы сторонними инструментами.

Вы можете их окончательно испортить и даже оригинальный декриптор не поможет.

Приобрести декриптор можно до хх.хх.хххх

Заявки обрабатываются автоматической системой".

 

Сложность в том, что этот пользователь зараженного компьютера переслал письмо с вирусом другому сотруднику и на руках теперь 2-а зашифрованных компьютера одним и тем же шифровальщиком. К письму прикрепляю логи от первого компьютера.

 

Прошу помочь дешифровать информацию на компьютере.

 

CollectionLog-2017.01.16-11.23.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Логи сделаны в терминальной сессии, сделайте их из консоли.

Sandor

Sandor

Опубликовано
Опубликовано

Включите Восстановление системы.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Включите Восстановление системы.

По-прежнему не включено. Включите.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
2017-01-13 16:57 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\ира\Мои документы\MESSAGE.txt
2017-01-13 16:57 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\ира\Главное меню\Программы\MESSAGE.txt
2017-01-13 16:57 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\ира\Главное меню\MESSAGE.txt
2017-01-13 16:56 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\ира\MESSAGE.txt
2017-01-13 16:56 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\ира\Local Settings\MESSAGE.txt
2017-01-13 16:56 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\ира\Local Settings\Application Data\MESSAGE.txt
2017-01-13 16:56 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\ира\Application Data\MESSAGE.txt
2017-01-13 16:56 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\All Users\Application Data\MESSAGE.txt
2017-01-13 14:57 - 2017-01-13 14:57 - 00001088 ___RH C:\Documents and Settings\ира\Application Data\RUC73-03KHX-GOTXX-FGATX-RTARG-TXHKA-FHTXR-RGYYY.KEY
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

WhoIsIt

WhoIsIt

Опубликовано
  • Автор
Опубликовано

Понятно, спасибо. Если возможно, дайте, пожалуйста, чуть более развернутый ответ. Просто за компьютером в течении дня работал человек, мог ли он усугубить проблему или у вируса-шифровальщика был задействован алгоритм шифрования, для которого нет еще дешифровщика?

Sandor

Sandor

Опубликовано
Опубликовано

для которого нет еще дешифровщика?

Именно так.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Ser25
      Шифровальщик
      Автор Ser25
      Взломали пароль и зашифровали удаленный комп. Пока ничего не предпринимал
      20250507.7z
    • Пользователь 1551
      Шифровальщик
      Автор Пользователь 1551
      Добрый день! У нас аналогичная ситуация? Удалось расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Thunderer
      Шифровальщик
      Автор Thunderer
      Зашифровали файлы на компьютере и все общие папки 
      Подключились к компьютеру по RDP 
      В архиве логи frst, зашифрованный и расшифрованный файлы
      -Файлы.zip
    • Сергей_00
      шифровальщик
      Автор Сергей_00
      Добрый день!
      Сегодня шифровальщик зашифровал большую часть нужных файлов, благо выключили компьютер из розетки...
      В результате остались файлы в папке запуска подозрительного файла   svhostss.exe, а именно в папке c:\users\пользователь\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\svhostss.exe
      следующие файлы:
      Everything.db
      Everything32.dll
      Everything64.dll
      session.tmp
      svhostss.exe
       
      быть может есть возможность дешифровать данные? 
    • bygi13
      Шифровальщик
      Автор bygi13
      Вирус шифровальщик
×
×
  • Создать...