Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Файлы зашифрованы Novikov.Vavila@gmail.com

illinoi
 Поделиться

Рекомендуемые сообщения

illinoi Новичок

illinoi

Опубликовано
Опубликовано

Bашu фaйлы были зaшuфpoваны.
Чmoбы pacшифровamь ux, Вам неoбxодuмо отпpавumь koд:
EDA7E4ACDB96C5E0F7C7|0
нa элeктpонный адрес Novikov.Vavila@gmail.com .
Далее вы пoлучите все необxoдимые uнcmpykцuu.

..

http://cryptsen7fo43rr6.onion/
u нажмите Enter. Заrрyзится стpаницa c фopмoй обpаmной cвязu.
2) B любoм бpaузеpe пeрeйдите no oднoму uз адреcoв:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

 

касперский стал выключен (или дети как-то его отрубили)

 

Споймал 3 на карантин

25.02.2017 22:34:56    На карантине    неизвестный объект: 110 PDM:Trojan.Win32.Bazon.a    c:\programdata\windows\csrss.exe    Средняя    
 

 

3 шт в резервном

25.02.2017 22:43:14    Удалено    троянская программа Trojan-Ransom.Win32.Shade.lpe    C:\Users\ahmed\AppData\Local\Temp\rad662A5.tmp    Высокая    
25.02.2017 23:14:13    Удалено    троянская программа Trojan.Win32.Vilsel.cuuj    C:\Documents and Settings\ahmed\Downloads\Revo Uninstaller Pro 3.1.7\RUP_3.1.0_Registrator.exe    Высокая    
 

сейчас идёт полная проверка

Как закончится - пришлю необходимые сканы дополнительно.

Если важно какие именно прилагать, дополните, чем ещё необходимо отсканировать.

Детских фото много на диске D..

Ссылка на комментарий
Поделиться на другие сайты
illinoi Новичок

illinoi

Опубликовано
  • Автор
Опубликовано

 

 

 

Полная проверка спотыкалась на сбойных секторах, сейчас идёт восстановление sata с помощью HDD Regenerator.. Потом опять полная и отчёт вам..

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

 

 


Полная проверка спотыкалась на сбойных секторах, сейчас идёт восстановление sata с помощью HDD Regenerator.

как вариант - попробуйте remap через Victoria
Ссылка на комментарий
Поделиться на другие сайты
illinoi Новичок

illinoi

Опубликовано
  • Автор
Опубликовано

Слава безсмертному антивирусу, бэды заремапились HDD reg успешно и полная проверка Касперским наконец-то завершилась!

 

В "порядке" не скачивается файл: http://tools.safezone.cc/drongo/test/AutoLogger-test.zip/из-за последней дроби в адресе (а не из-за недоступности ресурса). Публикующие "порядок", наведите порядок..

 

В посте указаны Два авто-логгера, один из них -тест, от 23. числа, второй от 26 числа. Запустил последний.

 

Благодарю за оказываемую помощь. Файлы пользователя - не Ахмеда (это видимо так установщик системы когда-то назвал пользователя), а многодетной мамы с кучей детских фото.

На рабочем столе, в корнях дисков по 10 README.TXT файлов с вымоганием.

CollectionLog-2017.02.27-06.29.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy-x32: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-2923332238-3621335593-2778065552-1000\...\Run: [uBar] => "C:\ProgramData\uBar\uBar\uBar.exe" -autorun
CHR HKU\S-1-5-21-2923332238-3621335593-2778065552-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2923332238-3621335593-2778065552-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2923332238-3621335593-2778065552-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2923332238-3621335593-2778065552-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhjcgomkanpkpblokebecknhahgkcmoo] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan] - hxxp://clients2.google.com/service/update2/crx
2017-02-24 18:58 - 2017-02-24 18:58 - 03148854 _____ C:\Users\ahmed\AppData\Roaming\38FF3BAD38FF3BAD.bmp
2017-02-24 18:58 - 2017-02-24 18:58 - 00004154 _____ C:\Users\ahmed\Desktop\README9.txt
2017-02-24 18:58 - 2017-02-24 18:58 - 00004154 _____ C:\Users\ahmed\Desktop\README8.txt
2017-02-24 18:58 - 2017-02-24 18:58 - 00004154 _____ C:\Users\ahmed\Desktop\README7.txt
2017-02-24 18:58 - 2017-02-24 18:58 - 00004154 _____ C:\Users\ahmed\Desktop\README6.txt
2017-02-24 18:58 - 2017-02-24 18:58 - 00004154 _____ C:\Users\ahmed\Desktop\README5.txt
2017-02-24 18:58 - 2017-02-24 18:58 - 00004154 _____ C:\Users\ahmed\Desktop\README4.txt
2017-02-24 18:58 - 2017-02-24 18:58 - 00004154 _____ C:\Users\ahmed\Desktop\README3.txt
2017-02-24 18:58 - 2017-02-24 18:58 - 00004154 _____ C:\Users\ahmed\Desktop\README2.txt
2017-02-24 18:58 - 2017-02-24 18:58 - 00004154 _____ C:\Users\ahmed\Desktop\README10.txt
2017-02-24 16:47 - 2017-02-27 07:37 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-02-24 16:47 - 2017-02-27 07:37 - 00000000 __SHD C:\ProgramData\Windows
2017-02-24 19:01 - 2017-02-24 19:01 - 0887808 _____ () C:\Users\ahmed\AppData\Local\Temp\5454C070.exe
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
illinoi Новичок

illinoi

Опубликовано
  • Автор
Опубликовано (изменено)

Благо дарю за помощь.

 

Нашел такую весчь в расшифровшике mcAfee - запрос ключа из файла через shadedecrypt.exe -k AFE6922C6D1AAD22A990.txt -f "OTQvpF2egoNQWEfV0nx2fvJborhsuPYhCMBkr-FySQQ=.xtbl"

-f : --file [File Path] This is the file to decrypt.

-h : --help Print tool instructions to the console.

-k [Key File Path] : --keyfile [Key File Path] Supply the private key file path to decrypt files.

-u [user ID] : --userid [user ID] Supply the User ID to locate a potential decryption key.

 

c:\f>shadedecrypt.exe -f "25vAnbZxJBDSYxLYG-2SnA==.EDA7E4ACDB96C5E0F7C7.no_more_ransom" -u EDA7E4ACDB96C5E0F7C7
Please download the private key from the following link: https://download.mcafee.com/molbin/iss-loc/shadedecrypt/keys/EDA7E4ACDB96C5E0F7C7.txt
 
In most browsers you can use File > Save As, to save the file. Rerun the decryption tool with private key file in the same directory. Example: shadedecrypt.exe -k AFE6922C6D1AAD22A990.txt
 
If you receive the message 'File not Found' then we were unable to located a usable Private key for your files.
 
по запросу выдаёт: File not found."
 
то бишь ключа нет.
 
Так как ключей 2^60 степени, а это 2^10 =1024 6 раз - меж тем миллиард миллиардов, все перебирать можно до глубокой старости..
 
Будь любезны, поясните подробно: (если нужно, пожалуйста, проконсультируйтесь именно по этому вопросу у ваших криптологов)
ключ шифрования 3072 бит?
и вирус после генерации отсылает его куда-то мошейникам?,
и по остатку ключа (60 бит) происходит сверка и потом расшифровка (а если полный ключ как-то недошёл мошейникам, то бесполезно?
или в лаборатории не могут "провернуть фарш назад" и 60 бит по хитрому вирусному алгоритму превратить в 3072 бит и расшифровать?
Можете привести пример кода (user id), ключа к нему и расшифрованного запроса?
 
Интересуюсь с целью: запустить в углу стоящий, пока незагруженный 8-ядерный xeon на перебор вариантов, может случайно попадёт на ключ, будет чудо..
Изменено пользователем illinoi
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • MirTa
      Троян ISTANBULTEAM зашифровал файлы
      Автор MirTa
      Здравствуйте, вчера в два этапа  10.00 и  20.00 оказались зашифрованы почти все файлы, в том числе и архиватор, поэтому не могу сложить в архив и не могу их прикрепить, подскажите, пожалуйста, как их сюда добавить
      Important_Notice.txt Addition.txt FRST.txt
    • itman
      История про зашифрованные файлы.
      Автор itman
      Добрый день всем! Хочу поведать вам всем поучительную историю как делать НЕ НАДО!!! В апреле месяце подцепили вирус -шифровальщик! Утром пришли  пользователи, а там все зашифровано на 3 севаках и 2х локалках на которых была расшаренная какая-то папка!! печаль !!! ну а что делать?! благо сисадмин делал копию раз в месяц акрониксом всех серверов, а бухгалтер помимо всего копии на внешний hdd каждое утро и хдд этот хранил в сейфе! (рекомендую всем бухгалтерам так делать!!!) и вот утром сисадмину звонок: -ААА!! Все пропало!! Что делать???? ничего не работает!!!  Помоги!!! и проч))) ну что проснулся от и начал смотреть что все таки произошло! на каждом из серваков при запуске вот такой текст: Encrypted by trust
       Email us for recovery: Rdpdik6@gmail.com
       In case of no answer, send to this email: Rdpp771@gmail.com
      Your unqiue ID:  писать не буду.
       Почти  все файлы (кроме *.dll и тому подобных и системных зашифрованы и переименованы по формуле имя.расширение. [Rdpdik6@gmail.com].lockedfile) и в каждой папке файлик txt c вот таким содержимым:
       Email 1:
      Rdpdik6@gmail.com
      Email 2:
      Rdpp771@gmail.com
      Send messages to both emails at the same time
      So send messages to our emails, check your spam folder every few hours
      ID: эту строчку сотру на всякий случай)
      If you do not receive a response from us after 24 hours, create a valid email, for example, gmail,outlook
      Then send us a message with a new email
      Ну сисадмин начал заниматься восстановлением копии то есть пусть месячные но все же копии а базы 1с так вообще вчерашние!!!  (а это самое главное!) прежде чем все восстанавливать сделал копию того что зашифровали а мало ли)) ну и параллельно всё-таки решил он написать этим недо людям (медикам на букву П), что так и так копии есть ущерб не большой на то что пока будет восстанавливаться копия уйдет время давайте разойдемся все миром и в итоге договорились на 30 баксах. Сисадмин им перевел на их кошелек, а они его кинули ни хрена они ему не прислали!!!!
      Прошло какое-то время (месяца полтора!) и тут пользователи посмотрели что у одного там пара доков осталась в общей папке уже после того как делалась копия у другого тоже какие-то доки  у третьего вообще фото с корпоратива и подумали они что всё-таки давай заплатим этим  людям нетрадиционной ориентации) сумму которую они просят! Скинулись толпой. Вот на переговоры опять отправили сисадмина (как жаль его)! Опять шли переговоры пару дней а то и больше ну вроде нашли они компромисс с шантажистами в размере 250$ те опять прислали адрес куда переводить деньги причем второй раз без гарантий! Типа из всех гарантий попросили прислать любой зашифрованный файл не более мегабайта и они покажут что всё-таки могут расшифровать. Отправили им какой-то pdf они в ответ скрин файла только весь замазанный видно только пару слов по которым надо только больше догадываться! По итогу  Он им опять перевел общий банк:
      Получаете:
      200.0813 Tether TRC20 USDT
      На счет:
      TBgx7szAXYNSwPJz1Ama2K85kTXrCcsnG1
       
      И? что вы думаете? Эти деятели пишут:
      Sinior (это ник в телеге одного из шантажистов )
      Deposit $50
      Sinior
      I won't give you the key until you pay me $50.
      Типа вы не доплатили 50 баксов!! Вот так уважаемые читатели этого поста ни в коем случае не вздумайте им платить так как они вам все равно ничего не пришлют!!! А деньги вы потеряете!!! И ни одного файла не расшифруете там рассчитано не на то чтоб найти компромисс а на то чтоб выдурить с вас побольше денег!!!!!!!
      P.S.    Делайте резервные копии и храните их на внешних hhd  и не оставляйте их подключенными к компьютеру! Сделал копию и отключай да не удобно зато надежно!!!! Всем удачи!!!!
       
      Сообщение от модератора thyrex Перенесено из раздела по шифровальщикам
       
    • tamerlan
      Зашифровались файлы
      Автор tamerlan
      Доброго дня. зашифровались все файлы в формат .danie 
      Волнует только расшифровать файл базы 1С, пото просто переустановлю систему и все. 
      Помогите пожалуйста.
    • Mep3aBEz
      Зашифровались файлы
      Автор Mep3aBEz
      Добрый день!
      6 мая 2025 года зашифровались файлы.
      Как проник вирус неизвестно.
       
      Произошло:
      Ночью на виртуалку на Win10x64 с включенным RDP в папку c:\users\admin\music попал файл AD.exe
      На самой виртуалке ничего не зашифровалось, но два рабочих компьютера на Win11, которые были включены в тот момент зашифровались.
      Также не зашифровался ни один (из 5) рабочий сервер на виртуалках с WS2022.
      С зашифрованных компов была удалена система, поэтому лог анализа системы прикрепить не могу, файл шифровальщика тоже не сохранили.
       
       
       
      encrypt_files.zip
    • orbita06
      вирус зашифровал файлы
      Автор orbita06
      легла вся сеть и 4 сервера вирус удален нужна программа дешифровальщика
×
×
  • Создать...