Перейти к содержанию

Расшифровка Trojan-Ransom.Win32.Crusis

alexander.zas
 Share

Рекомендуемые сообщения

thyrex Мудрец

thyrex

Опубликовано
Опубликовано

+ шифрованный файл и его незашифрованную копию (оба файла размером более 64кбайт, предположительно и размер одинаков) ищите и присылайте вместе с сообщением вымогателей

Ссылка на комментарий
Поделиться на другие сайты
alexander.zas Новичок

alexander.zas

Опубликовано
  • Автор
Опубликовано

Через РДП не дает автолог собрать, доберусь физически за пару дней все подготовлю и скину. Есть шанс возможности расшифровать фото? Кроме фото ничего там больше ненадо.

Ссылка на комментарий
Поделиться на другие сайты
alexander.zas Новичок

alexander.zas

Опубликовано
  • Автор
Опубликовано

Вот только успел один зашифрованный файл скопировать к себе, пробовал через RakhniDecryptor расшифровать, безуспешно. ПК там уже выключили, после Пасхи привезут мне, дам все файлы + там увидел есть сообщение вымогателей в info.hta

 

Wallet.zip

Ссылка на комментарий
Поделиться на другие сайты
alexander.zas Новичок

alexander.zas

Опубликовано
  • Автор
Опубликовано

ПК привезли, вот подготовил:

1. Лог

2. Зашифрованные файлы

3. Одинаковые файлы зашифрованные и оригиналы (правда меньше 64К) сейчас буду искать что бы были больше, просто все зашифровано. 

4. Info.hta

 

CollectionLog-2017.04.17-14.14.zip

Info_hta.zip

Wallet_1.zip

Wallet_2.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Весьма занятно: под двумя учетками файлы с сообщением вымогателей были созданы с разницей в 2 недели?

 

C:\Data recovery FILLs .txt - что в файле?

 

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
ShellIconOverlayIdentifiers-x32: [ SkyDrivePro1 (ErrorConflict)] -> {8BA85C75-763B-4103-94EB-9470F12FE0F7} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ SkyDrivePro2 (SyncInProgress)] -> {CD55129A-B1A1-438E-A425-CEBC7DC684EE} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ SkyDrivePro3 (InSync)] -> {E768CD3B-BDDC-436D-9C13-E1B39CA257B1} =>  -> No File
Startup: C:\Users\Aleksandr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2017-04-15] ()
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2017-03-30] ()
S2 Serviio; C:\Program Files\Serviio\bin\ServiioService.exe [X]
2017-04-15 09:48 - 2017-04-15 09:58 - 00013920 _____ C:\Users\Aleksandr\AppData\Roaming\Info.hta
2017-03-30 08:42 - 2017-04-15 09:58 - 00013920 _____ C:\Windows\system32\Info.hta
2017-03-30 08:42 - 2017-03-30 08:42 - 00013920 _____ C:\Users\Администратор\AppData\Roaming\Info.hta
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Перезагрузку компьютеравыполните вручную.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • gin
      Помощь в расшифровке файлов
      От gin
      Добрый день! Просьба помочь расшифровать файлы
      логи FRST.zip записка.zip примеры файлов.zip
    • Ivy_Sekoru
      Trojan
      От Ivy_Sekoru
      После включения ноутбука начала появляться сообщения от касперски по поводу обнаружения HEUR:Trojan.Multi.GenBadur.genw
      Выполняла лечение с перезагрузкой но после этого снова появляется тоже самое сообщение
    • Profssn
      Расшифровка decrypting@cock.li
      От Profssn
      Нужна помощь расшифровать. Поймали на другом ПК с другой windows. Windows удален. Файлы переименованы на расшерение decrypting@cock.li
      Новая сжатая ZIP-папка.zip Addition.txt FRST.txt
    • bakanov
      HEUR:Trojan-Ransom.Win32.Mimic.gen
      От bakanov
      Добрый день , поймали шифровальщик HEUR:Trojan-Ransom.Win32.Mimic.gen. Залез судя по всему через RDP , отсканировал домен, получил доступы к администратору домена domain\administrator и начал все шифровать куда есть доступы админа. Машину вырубили, загрузился с livecd , нашел хвосты , временные файлы и т.д. Есть варианты файлов до шифровки и после шифровки , есть ли возможность найти ключик для дешифровки для конкретно это машины ?
    • Seraph Luteus
      NET:MALWARE.URL и trojan siggen 20 2783
      От Seraph Luteus
      Доброго времени суток. Решил провести проверку системы на майнеры и прочие вирусы. Как итог, я выявил сначала такой файл trojan siggen 20 2783, после чего удалил (на что надеюсь) его через антивирусник. После сделал ещё проверки и обнаружил уже net malware.url, а его удалить не получается.  Прошу совета и помощи в решении проблемы у знатоков.
       
      По уже похожей проблеме у другого пользователя собрал нужные логи и прикреплю их. 
      PIKA_2024-11-18_15-41-59_v4.99.4v x64.7z
      FRST.txt Addition.txt AV_block_remove_2024.11.18-15.35.log
×
×
  • Создать...