Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте.

Система подверглась атаке трояна шифратора и в результате зашифровались важные файлы. :(

До конца троян доработать не успел, поэтому сообщения от вымогателей нет.

Прилагаю 3 архива.

1. CollectionLog-2017.03.13-13.30.zip

2. В test.rar находится файл 1cv7flt.lst и разные его зашифрованные версии. Это удалось выяснить потому, что имена папок троян не изменял и в папках пользоваиелей 1С находился только один этот зашифрованный файл. Поэтому с большой долей вероятности зашифрованные файлы это один и тот же файл. Возможно это поможет. Интересно, что один и тот же файл каждый раз зашифровывался по-разному.

[slava@work test]$ ll
итого 28
-rwxr-xr-x. 1 slava slava  69 Июл 14  2014 1cv7flt.lst
-rwxr-xr-x. 1 slava slava 464 Мар  3 14:48 '49nKvC2DfgZ3MiRAwVgAy9BzH3zoTiX7SnW+pgElWx8=.863805451051ABB2363F.no_more_ransom'
-rwxr-xr-x. 1 slava slava 464 Мар  3 14:47 'bHNCkxbLOOj5cX0UYyBhHuQ9-US184n09UgtjKliqQs=.863805451051ABB2363F.no_more_ransom'
-rwxr-xr-x. 1 slava slava 464 Мар  3 14:47 '-DtWmSute84G7ZvsBKRmeRsXU+dLk3zxDy8N448nc+g=.863805451051ABB2363F.no_more_ransom'
-rwxr-xr-x. 1 slava slava 464 Мар  3 14:48 'JVnHUsVtwcLmy244i4l+734DMMype4ab5dxuXqOFN8E=.863805451051ABB2363F.no_more_ransom'
-rwxr-xr-x. 1 slava slava 464 Мар  3 14:48 'Xm9uDzYCANT1Yq1+UsuY+slo8y5-XlvArR05Eq7FZGY=.863805451051ABB2363F.no_more_ransom'
-rwxr-xr-x. 1 slava slava 464 Мар  3 14:48 'ycBgZnqOgn4yrnMYXDvXxU826HxiX-EWUO4cuX3MdQs=.863805451051ABB2363F.no_more_ransom'

3. В KVRT_Data.rar результат работы Kaspersky Virus Removal Tool

 

Прошу помощи в расшифровке, если это возможно!

Спасибо.


Да, есть возможность откатить снапшот системы и получить работающую версию шифровальщика.

CollectionLog-2017.03.13-13.30.zip

KVRT_Data.rar

test.rar

Опубликовано

Шифратор запустили прямо на сервере или вирус добрался к нему по сети?

Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2017-03-02 15:53 - 2017-03-03 16:16 - 00000000 __SHD C:\ProgramData\Windows
2017-03-02 15:53 - 2017-03-02 17:49 - 00000000 ____D C:\Users\yulia\AppData\Local\Temp\6893A5D897
2017-03-02 15:53 - 2017-03-02 15:53 - 00924814 _____ C:\Users\yulia\AppData\Local\Temp\rad85711.tmp
2017-03-02 15:53 - 2017-03-02 15:53 - 00000000 ____D C:\Users\yulia\AppData\Local\Temp\nsu327.tmp
ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} =>  -> No File
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Опубликовано

С расшифровкой помочь не сможем

Опубликовано

Господа специаллисты

Если есть алгоритм шифрования, исходный файл и файл результата, а так же один из ключей шифрования - возможно ли сделать расшифровку всех остальных файлов?

Опубликовано

Господа специаллисты

Если есть алгоритм шифрования, исходный файл и файл результата, а так же один из ключей шифрования - возможно ли сделать расшифровку всех остальных файлов?

я хотел расшифровать при помощи Rannoh Decryptor с https://noransom.kaspersky.com/ru/glavnaya/самый верх списка. У меня запросил исходный файл. Но у меня такого нет. Так что пробуй сам.

Опубликовано

 

Господа специаллисты

Если есть алгоритм шифрования, исходный файл и файл результата, а так же один из ключей шифрования - возможно ли сделать расшифровку всех остальных файлов?

я хотел расшифровать при помощи Rannoh Decryptor с https://noransom.kaspersky.com/ru/glavnaya/самый верх списка. У меня запросил исходный файл. Но у меня такого нет. Так что пробуй сам.

 

Увы, не получилось.. :(

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Екатерина Лучинина
      Автор Екатерина Лучинина
      Пару недель назад, столкнулась с проблемой, ни одну фотографию на компьютере не смогла открыть. Ну думаю, опять вирус подцепила(где и когда, не помню/не знаю), отнесу администратору на работе, должен починить...
      Принесла вчера, а он мне с порога, мол: " --Фигу, что я уже из своих фотографий увижу, если у меня их не было в другом месте." 
      А фотографии я не копировала никуда. В общем после пролитых слез полезла я поискать решение, ну и направило меня сюда.
      Поможите люди добрые, вроде все сделала по инструкции, вот лог.
       

      Ой, задвоилась тема, можно одну удалить?
      CollectionLog-2015.11.10-12.48.zip
      report1.log
      report2.log
    • Alex_hvost
      Автор Alex_hvost
      Добрый день! схожая проблема уже озвучивалась на этом форуме, следуя инструкциям создаю новую тему с тем сообщением что пришло мне:
      на рабочем столе появилась надпись красными буквами на черном экране: Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы и + на английском. Файлы стали зашифрованы под таким разрешением .xbtl и появилась 6 файлом readme в котором написано:
       
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: B3DF8C1ACB4CD7FA4CD8|0 на электронный адрес files1147@gmail.com или post100023@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: B3DF8C1ACB4CD7FA4CD8|0 to e-mail address files1147@gmail.com or post100023@gmail.com . Then you will receive all necessary instructions.  
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.   Прошу вас помочь с разрешением этой ситуации Спасибо
    • borka_e
      Автор borka_e
      Знакомый принес ноутбук, говорит не выходит в интернет, на ноутбуке все или большинство файлов зашифрованы - расширение xtbl, есть ли шансы на восстановление? Согласно инструкции на этом сайте почистил систему: Kaspersky Virus Removal Tool 2015 и Dr.Web CureIt!. Сделал лог AutoLogger.exe, файл прилагаю. 
      CollectionLog-2015.10.27-10.40.zip
    • bom81
      Автор bom81
      Вирус зашифровал файлы
      примерно минут за 12
       
      сам файл, который запустил пользователь, нашел
      051115scan.scr
       
       
       
      Оставлены 10 файликов  на рабочем столе о том как расшифровать
       
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 339759B8033610BB2417|288|2|7 на электронный адрес files100001@gmail.com или files100002@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 339759B8033610BB2417|288|2|7 to e-mail address files100001@gmail.com or files100002@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.     могу приложить сам вирус и зашифрованные файлы     возможно ли их будет расшифровать? виндовс переставить не долго, а вот расшифровать... CollectionLog-2015.11.08-14.57.zip
    • vsmzadmin
      Автор vsmzadmin
      Пользователь открыл прикрепленный к письму архив с исполняемым файлом. В результате все документы зашифрованы, имена закодированы, расширение XTBL В файле readme.txt сообщение:  
            CollectionLog-2015.11.10-10.51.zip
×
×
  • Создать...