Перейти к содержанию

Файлы зашифрованы Novikov.Vavila@gmail.com

illinoi
 Поделиться

Рекомендуемые сообщения

illinoi

illinoi

Опубликовано
Опубликовано

Bашu фaйлы были зaшuфpoваны.
Чmoбы pacшифровamь ux, Вам неoбxодuмо отпpавumь koд:
EDA7E4ACDB96C5E0F7C7|0
нa элeктpонный адрес Novikov.Vavila@gmail.com .
Далее вы пoлучите все необxoдимые uнcmpykцuu.

..

http://cryptsen7fo43rr6.onion/
u нажмите Enter. Заrрyзится стpаницa c фopмoй обpаmной cвязu.
2) B любoм бpaузеpe пeрeйдите no oднoму uз адреcoв:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

 

касперский стал выключен (или дети как-то его отрубили)

 

Споймал 3 на карантин

25.02.2017 22:34:56    На карантине    неизвестный объект: 110 PDM:Trojan.Win32.Bazon.a    c:\programdata\windows\csrss.exe    Средняя    
 

 

3 шт в резервном

25.02.2017 22:43:14    Удалено    троянская программа Trojan-Ransom.Win32.Shade.lpe    C:\Users\ahmed\AppData\Local\Temp\rad662A5.tmp    Высокая    
25.02.2017 23:14:13    Удалено    троянская программа Trojan.Win32.Vilsel.cuuj    C:\Documents and Settings\ahmed\Downloads\Revo Uninstaller Pro 3.1.7\RUP_3.1.0_Registrator.exe    Высокая    
 

сейчас идёт полная проверка

Как закончится - пришлю необходимые сканы дополнительно.

Если важно какие именно прилагать, дополните, чем ещё необходимо отсканировать.

Детских фото много на диске D..

Roman_Five

Roman_Five

Опубликовано
Опубликовано

 

 


Полная проверка спотыкалась на сбойных секторах, сейчас идёт восстановление sata с помощью HDD Regenerator.

как вариант - попробуйте remap через Victoria
illinoi

illinoi

Опубликовано
  • Автор
Опубликовано

Слава безсмертному антивирусу, бэды заремапились HDD reg успешно и полная проверка Касперским наконец-то завершилась!

 

В "порядке" не скачивается файл: http://tools.safezone.cc/drongo/test/AutoLogger-test.zip/из-за последней дроби в адресе (а не из-за недоступности ресурса). Публикующие "порядок", наведите порядок..

 

В посте указаны Два авто-логгера, один из них -тест, от 23. числа, второй от 26 числа. Запустил последний.

 

Благодарю за оказываемую помощь. Файлы пользователя - не Ахмеда (это видимо так установщик системы когда-то назвал пользователя), а многодетной мамы с кучей детских фото.

На рабочем столе, в корнях дисков по 10 README.TXT файлов с вымоганием.

CollectionLog-2017.02.27-06.29.zip

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy-x32: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-2923332238-3621335593-2778065552-1000\...\Run: [uBar] => "C:\ProgramData\uBar\uBar\uBar.exe" -autorun
CHR HKU\S-1-5-21-2923332238-3621335593-2778065552-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2923332238-3621335593-2778065552-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2923332238-3621335593-2778065552-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2923332238-3621335593-2778065552-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhjcgomkanpkpblokebecknhahgkcmoo] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan] - hxxp://clients2.google.com/service/update2/crx
2017-02-24 18:58 - 2017-02-24 18:58 - 03148854 _____ C:\Users\ahmed\AppData\Roaming\38FF3BAD38FF3BAD.bmp
2017-02-24 18:58 - 2017-02-24 18:58 - 00004154 _____ C:\Users\ahmed\Desktop\README9.txt
2017-02-24 18:58 - 2017-02-24 18:58 - 00004154 _____ C:\Users\ahmed\Desktop\README8.txt
2017-02-24 18:58 - 2017-02-24 18:58 - 00004154 _____ C:\Users\ahmed\Desktop\README7.txt
2017-02-24 18:58 - 2017-02-24 18:58 - 00004154 _____ C:\Users\ahmed\Desktop\README6.txt
2017-02-24 18:58 - 2017-02-24 18:58 - 00004154 _____ C:\Users\ahmed\Desktop\README5.txt
2017-02-24 18:58 - 2017-02-24 18:58 - 00004154 _____ C:\Users\ahmed\Desktop\README4.txt
2017-02-24 18:58 - 2017-02-24 18:58 - 00004154 _____ C:\Users\ahmed\Desktop\README3.txt
2017-02-24 18:58 - 2017-02-24 18:58 - 00004154 _____ C:\Users\ahmed\Desktop\README2.txt
2017-02-24 18:58 - 2017-02-24 18:58 - 00004154 _____ C:\Users\ahmed\Desktop\README10.txt
2017-02-24 16:47 - 2017-02-27 07:37 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-02-24 16:47 - 2017-02-27 07:37 - 00000000 __SHD C:\ProgramData\Windows
2017-02-24 19:01 - 2017-02-24 19:01 - 0887808 _____ () C:\Users\ahmed\AppData\Local\Temp\5454C070.exe
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
illinoi

illinoi

Опубликовано
  • Автор
Опубликовано (изменено)

Благо дарю за помощь.

 

Нашел такую весчь в расшифровшике mcAfee - запрос ключа из файла через shadedecrypt.exe -k AFE6922C6D1AAD22A990.txt -f "OTQvpF2egoNQWEfV0nx2fvJborhsuPYhCMBkr-FySQQ=.xtbl"

-f : --file [File Path] This is the file to decrypt.

-h : --help Print tool instructions to the console.

-k [Key File Path] : --keyfile [Key File Path] Supply the private key file path to decrypt files.

-u [user ID] : --userid [user ID] Supply the User ID to locate a potential decryption key.

 

c:\f>shadedecrypt.exe -f "25vAnbZxJBDSYxLYG-2SnA==.EDA7E4ACDB96C5E0F7C7.no_more_ransom" -u EDA7E4ACDB96C5E0F7C7
Please download the private key from the following link: https://download.mcafee.com/molbin/iss-loc/shadedecrypt/keys/EDA7E4ACDB96C5E0F7C7.txt
 
In most browsers you can use File > Save As, to save the file. Rerun the decryption tool with private key file in the same directory. Example: shadedecrypt.exe -k AFE6922C6D1AAD22A990.txt
 
If you receive the message 'File not Found' then we were unable to located a usable Private key for your files.
 
по запросу выдаёт: File not found."
 
то бишь ключа нет.
 
Так как ключей 2^60 степени, а это 2^10 =1024 6 раз - меж тем миллиард миллиардов, все перебирать можно до глубокой старости..
 
Будь любезны, поясните подробно: (если нужно, пожалуйста, проконсультируйтесь именно по этому вопросу у ваших криптологов)
ключ шифрования 3072 бит?
и вирус после генерации отсылает его куда-то мошейникам?,
и по остатку ключа (60 бит) происходит сверка и потом расшифровка (а если полный ключ как-то недошёл мошейникам, то бесполезно?
или в лаборатории не могут "провернуть фарш назад" и 60 бит по хитрому вирусному алгоритму превратить в 3072 бит и расшифровать?
Можете привести пример кода (user id), ключа к нему и расшифрованного запроса?
 
Интересуюсь с целью: запустить в углу стоящий, пока незагруженный 8-ядерный xeon на перебор вариантов, может случайно попадёт на ключ, будет чудо..
Изменено пользователем illinoi
thyrex

thyrex

Опубликовано
Опубликовано

Таких нюансов по этому шифратору я не знаю, а аналитики вирлаба такой информацией делиться не будут

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Max0n
      шифровальщик no_more_ransom
      Автор Max0n
      Добрый день !
       
      Пришло письмо с адреса ignatov.s@sberbank.ru с ссылкой http://www.sberbank.ru/downloads/individual/170-2017-05/id465865gte1703623465... (фактический переход на http://luxceram.ru/smartoptimizer/cache/schet_sber.html). По ссылке скачался архив Documents.zip в нем был файл ....xls.js 
      После запуска файла вирус начал переименовывать файлы по следующему образцу: 
      XZNlDpV-eR0OoJs5+nLELydHtSzvsQha21etC6sjeRzVzqAlDdD0onmpinoeHaSt.7CE2FFF06AF5177487E9.no_more_ransom
       
      Процесс был прерван, но часть файлов вирус успел переименовать. 
      Компьютер был проверен KVRT (уничтожено 10 угроз) и после KAV (ничего не обнаружено).  
       
      Во вложении архив с зашифрованными файлами и логи проверки AutoLogger
       
      Возможно ли восстановить зашифрованные файлы ? 
      CollectionLog-2017.05.12-12.42.zip
      зашифрованные файлы.zip
    • AlexStorm
      шифровальщик Troldesh / Shade с расширением *.crypted000007
      Автор AlexStorm
      Здравствуйте, поймали вирус шифровальщик. Сам вирус удалили с помощью Kaspersky Virus Removal Tool.
       
      Большинство файлов зашифровались. Имена изменились на набор букв-цифр-символов и расширение стало *.crypted000007.
       
      Помогите расшифровать эти файлы. Что Вам для этого необходимо? Высылаю зашифрованный файл, его оригинал (хорошо я точно знаю, что это он) и файл Readme.txt, который появился на диске после работы вируса.

       

      Добавляю файл отчет.
      1.rar
      CollectionLog-2017.05.11-11.40.zip
    • zhekkka
      Зашифрованы файлы на компьютере ! ПОМОГИТЕ !
      Автор zhekkka
      Добрый день ! Подскажите пожалуйста что делать, как выйти из ситуации ? На компьютере чёрный экран и надпись " Внимание все ваши файлы на всех ваших дисках были зашифрованы"  и все файлы зашифрованы ! Что делать ? ? ?


      Вашu фaйлы былu зашuфpованы. Чmoбы рaсшифровaть их, Вaм неoбходuмо omправumь koд: 4F9ADE6A6200BEED2187|0 на элеkmpонный адреc Novikov.Vavila@gmail.com . Далеe вы полyчume вce нeoбходuмыe uнстрykцuи. Пonыткu рacшuфpoвать самосmoятeльнo не привeдym нu к чемy, кромe бeзвoзвраmной пoтеpu инфopмацuи. Eсли вы вcё жe xoтите nоnыmатьcя, mo предваpuтeльно cдeлaйmе резеpвные копии фaйлов, инaчe в cлучае иx uзмeненuя pасшифpoвka cmaнеm нeвoзмoжнoй нu прu кaкuх условияx. Eслu вы не nолучuлu отвеma пo вышеукaзaнномy адресу в mечение 48 чаcoв (и тoльkо в эmoм слyчaе!), вoспользyйтеcь фоpмoй обpатной связu. Этo можнo сдeлать двумя cnoсoбaмu: 1) Скaчaйтe u усmaнoвuтe Tor Browser no ccылкe: https://www.torproject.org/download/download-easy.html.en B aдpесной стpокe Tor Browser-a введuтe адреc: http://cryptsen7fo43rr6.onion/ u нажмume Enter. 3aгpузumся сmpaнuцa c формoй обратной cвязи. 2) B любом бpаузере nepeйдите по одному uз aдреcов: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 4F9ADE6A6200BEED2187|0 to e-mail address Novikov.Vavila@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data. If you still want to try to decrypt them by yourself please make a backup at first because the decryption will become impossible in case of any changes inside the files. If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!), use the feedback form. You can do it by two ways: 1) Download Tor Browser from here: https://www.torproject.org/download/download-easy.html.en Install it and type the following address into the address bar: http://cryptsen7fo43rr6.onion/ Press Enter and then the page with feedback form will be loaded. 2) Go to the one of the following addresses in any browser: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ README1.txt
    • Кузьма Люзняк
      Вирус-шифровальщик!
      Автор Кузьма Люзняк
      Помогите! У меня файлы зашифрованы с расширением .crypted000007 и .crypted000078,я нехочу потерять свои фото- и видео- файлы.
      README1.txt
      README2.txt
      README3.txt
      README4.txt
      README5.txt
      README6.txt
      README7.txt
      README8.txt
      README9.txt
    • DenisVortman
      Шифровальщик .crypted000007
      Автор DenisVortman
      Здравствуйте, поймали шифровальщик crypted000007, пришел в письме. Письмо удалили. Проверил Kaspersky Virus Removal Tool 2015. 
      Помогите пожалуйста.
      CollectionLog-2017.05.11-11.49.zip
×
×
  • Создать...