Перейти к содержанию

Файлы зашифрованы Novikov.Vavila@gmail.com

illinoi
 Поделиться

Рекомендуемые сообщения

illinoi

illinoi

Опубликовано
Опубликовано

Bашu фaйлы были зaшuфpoваны.
Чmoбы pacшифровamь ux, Вам неoбxодuмо отпpавumь koд:
EDA7E4ACDB96C5E0F7C7|0
нa элeктpонный адрес Novikov.Vavila@gmail.com .
Далее вы пoлучите все необxoдимые uнcmpykцuu.

..

http://cryptsen7fo43rr6.onion/
u нажмите Enter. Заrрyзится стpаницa c фopмoй обpаmной cвязu.
2) B любoм бpaузеpe пeрeйдите no oднoму uз адреcoв:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

 

касперский стал выключен (или дети как-то его отрубили)

 

Споймал 3 на карантин

25.02.2017 22:34:56    На карантине    неизвестный объект: 110 PDM:Trojan.Win32.Bazon.a    c:\programdata\windows\csrss.exe    Средняя    
 

 

3 шт в резервном

25.02.2017 22:43:14    Удалено    троянская программа Trojan-Ransom.Win32.Shade.lpe    C:\Users\ahmed\AppData\Local\Temp\rad662A5.tmp    Высокая    
25.02.2017 23:14:13    Удалено    троянская программа Trojan.Win32.Vilsel.cuuj    C:\Documents and Settings\ahmed\Downloads\Revo Uninstaller Pro 3.1.7\RUP_3.1.0_Registrator.exe    Высокая    
 

сейчас идёт полная проверка

Как закончится - пришлю необходимые сканы дополнительно.

Если важно какие именно прилагать, дополните, чем ещё необходимо отсканировать.

Детских фото много на диске D..

Roman_Five

Roman_Five

Опубликовано
Опубликовано

 

 


Полная проверка спотыкалась на сбойных секторах, сейчас идёт восстановление sata с помощью HDD Regenerator.

как вариант - попробуйте remap через Victoria
illinoi

illinoi

Опубликовано
  • Автор
Опубликовано

Слава безсмертному антивирусу, бэды заремапились HDD reg успешно и полная проверка Касперским наконец-то завершилась!

 

В "порядке" не скачивается файл: http://tools.safezone.cc/drongo/test/AutoLogger-test.zip/из-за последней дроби в адресе (а не из-за недоступности ресурса). Публикующие "порядок", наведите порядок..

 

В посте указаны Два авто-логгера, один из них -тест, от 23. числа, второй от 26 числа. Запустил последний.

 

Благодарю за оказываемую помощь. Файлы пользователя - не Ахмеда (это видимо так установщик системы когда-то назвал пользователя), а многодетной мамы с кучей детских фото.

На рабочем столе, в корнях дисков по 10 README.TXT файлов с вымоганием.

CollectionLog-2017.02.27-06.29.zip

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy-x32: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-2923332238-3621335593-2778065552-1000\...\Run: [uBar] => "C:\ProgramData\uBar\uBar\uBar.exe" -autorun
CHR HKU\S-1-5-21-2923332238-3621335593-2778065552-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2923332238-3621335593-2778065552-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2923332238-3621335593-2778065552-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2923332238-3621335593-2778065552-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhjcgomkanpkpblokebecknhahgkcmoo] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan] - hxxp://clients2.google.com/service/update2/crx
2017-02-24 18:58 - 2017-02-24 18:58 - 03148854 _____ C:\Users\ahmed\AppData\Roaming\38FF3BAD38FF3BAD.bmp
2017-02-24 18:58 - 2017-02-24 18:58 - 00004154 _____ C:\Users\ahmed\Desktop\README9.txt
2017-02-24 18:58 - 2017-02-24 18:58 - 00004154 _____ C:\Users\ahmed\Desktop\README8.txt
2017-02-24 18:58 - 2017-02-24 18:58 - 00004154 _____ C:\Users\ahmed\Desktop\README7.txt
2017-02-24 18:58 - 2017-02-24 18:58 - 00004154 _____ C:\Users\ahmed\Desktop\README6.txt
2017-02-24 18:58 - 2017-02-24 18:58 - 00004154 _____ C:\Users\ahmed\Desktop\README5.txt
2017-02-24 18:58 - 2017-02-24 18:58 - 00004154 _____ C:\Users\ahmed\Desktop\README4.txt
2017-02-24 18:58 - 2017-02-24 18:58 - 00004154 _____ C:\Users\ahmed\Desktop\README3.txt
2017-02-24 18:58 - 2017-02-24 18:58 - 00004154 _____ C:\Users\ahmed\Desktop\README2.txt
2017-02-24 18:58 - 2017-02-24 18:58 - 00004154 _____ C:\Users\ahmed\Desktop\README10.txt
2017-02-24 16:47 - 2017-02-27 07:37 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-02-24 16:47 - 2017-02-27 07:37 - 00000000 __SHD C:\ProgramData\Windows
2017-02-24 19:01 - 2017-02-24 19:01 - 0887808 _____ () C:\Users\ahmed\AppData\Local\Temp\5454C070.exe
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
illinoi

illinoi

Опубликовано
  • Автор
Опубликовано (изменено)

Благо дарю за помощь.

 

Нашел такую весчь в расшифровшике mcAfee - запрос ключа из файла через shadedecrypt.exe -k AFE6922C6D1AAD22A990.txt -f "OTQvpF2egoNQWEfV0nx2fvJborhsuPYhCMBkr-FySQQ=.xtbl"

-f : --file [File Path] This is the file to decrypt.

-h : --help Print tool instructions to the console.

-k [Key File Path] : --keyfile [Key File Path] Supply the private key file path to decrypt files.

-u [user ID] : --userid [user ID] Supply the User ID to locate a potential decryption key.

 

c:\f>shadedecrypt.exe -f "25vAnbZxJBDSYxLYG-2SnA==.EDA7E4ACDB96C5E0F7C7.no_more_ransom" -u EDA7E4ACDB96C5E0F7C7
Please download the private key from the following link: https://download.mcafee.com/molbin/iss-loc/shadedecrypt/keys/EDA7E4ACDB96C5E0F7C7.txt
 
In most browsers you can use File > Save As, to save the file. Rerun the decryption tool with private key file in the same directory. Example: shadedecrypt.exe -k AFE6922C6D1AAD22A990.txt
 
If you receive the message 'File not Found' then we were unable to located a usable Private key for your files.
 
по запросу выдаёт: File not found."
 
то бишь ключа нет.
 
Так как ключей 2^60 степени, а это 2^10 =1024 6 раз - меж тем миллиард миллиардов, все перебирать можно до глубокой старости..
 
Будь любезны, поясните подробно: (если нужно, пожалуйста, проконсультируйтесь именно по этому вопросу у ваших криптологов)
ключ шифрования 3072 бит?
и вирус после генерации отсылает его куда-то мошейникам?,
и по остатку ключа (60 бит) происходит сверка и потом расшифровка (а если полный ключ как-то недошёл мошейникам, то бесполезно?
или в лаборатории не могут "провернуть фарш назад" и 60 бит по хитрому вирусному алгоритму превратить в 3072 бит и расшифровать?
Можете привести пример кода (user id), ключа к нему и расшифрованного запроса?
 
Интересуюсь с целью: запустить в углу стоящий, пока незагруженный 8-ядерный xeon на перебор вариантов, может случайно попадёт на ключ, будет чудо..
Изменено пользователем illinoi
thyrex

thyrex

Опубликовано
Опубликовано

Таких нюансов по этому шифратору я не знаю, а аналитики вирлаба такой информацией делиться не будут

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Денис А
      Все файлы зашифрованы шифровальщиком
      Автор Денис А
      Добрый день.
      Помогите, пожалуйста, расшифровать файлы на ПК.
      Приложил файлы зашифрованные. лог FRST и текстовый файл с требованием выкупа.
       
      Заранее спасибо.
      AeyLALoFF.README.txt зашифрованные файлы.rar Addition.txt
      FRST.txt
    • progig
      Зашифровались все файлы кроме txt
      Автор progig
      Доброго времени суток 30.07 все ПК сети введенные  в домен одновременно перезагрузились. Виндовс больше не запустился, все остановилось на "восстановлении системы". Система не восстанавливалась, у некоторых ПК диски вовсе упали в RAW. Поверх был установлен виндовс, но старые файлы пользователей так и не открылись( у всех файлов(кроме .txt, которые открываются) одна и та же дата/время изменения файла с минутной разницей). Файл FRST сделан из под командной строки "восстановления системы". Файл Addition не формируется. Записки о выкупе не обнаружено.
      Прикрепляю файл FRST и зашифрованные файлы. FRST.rarзашифрованные файлы.rar
    • astraoren
      Зашифровались файлы, расширение .enc
      Автор astraoren
      Здравствуйте, шифровальщик зашифровал файлы. Прошу помощи в расшифровке
      encoder files.zip
    • Lingon
      Файлы зашифрованы с расширением .ant_dec
      Автор Lingon
      files.rarAddition.txt
      FRST.txt
    • Evgeniy Alekseevich
      Файлы зашифрованы, расширение файлов helpo2, как расшифровать ?
      Автор Evgeniy Alekseevich
      05 августа , судя по датам файлов, на нашем сервере был запущен шифровальщик, кем и как пока выясняем, но сегодня утром я обнаружил зашифрованы практически все файлы.
      Файлы имеют расширение helpo2.
      Может кто сталкивался и сможет помочь ?
      Связались с вымогателями, они для примера расшифровали два файла, я вложил в архив два зашифрованных и они же расшифрованные . Там же письмо, которое они оставили.
      Также прикладываю файлы от  Farbar Recovery Scan Tool.
      Может кто сможет помочь....
      С Уважением, Евгений.
       
       
      Addition.txt FRST.txt НаборФайлов5шт.zip
×
×
  • Создать...