Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Шифровальщик Trojan-Ransom.Win32.Agent.iyp

badumm
 Поделиться

Рекомендуемые сообщения

badumm

badumm

Опубликовано
Опубликовано

Добрый день! Получил на две машины шифровальщика, судя по времени изменения файлов, всё запустилось автоматически. Kaspersky Removal Tool на одном компьютере обнаружил Trojan-Ransom.Win32.Agent.iyp, на втором — ничего. На конце всех файлов было добавлено .some@mail.ru.ID********,  ID на обеих машинах одинаковый, равно как примерное время заражения и внешний ip (обе машины за NAT'ом). Связался по указанному в текстовом документе адресу (на bitmessage.ch), скинул по файлу с разных компьютеров — они в ответ прислали расшифрованные. Есть ли надежда на скорое написание дешифратора, или единственный выход — оплата?

зашифрованный файл.rar

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Что в папке C:\Users\Admin\Downloads\cripterа ?

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
S2 Ghostery Storage Server; C:\Program Files (x86)\Ghostery Storage Server\ghstore.exe /svc [X]
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Все пользователи\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\бать\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\бать\Downloads\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\бать\Documents\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\бать\Desktop\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\бать\AppData\Roaming\Microsoft\Windows\Start Menu\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\бать\AppData\Local\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Public\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Public\Downloads\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Public\Documents\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Public\Desktop\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\dimk\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\dimk\Downloads\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\dimk\Documents\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\dimk\Desktop\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\dimk\AppData\Roaming\Microsoft\Windows\Start Menu\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\dimk\AppData\Local\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Default\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Default\Downloads\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Default\Documents\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Default\Desktop\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Default\AppData\Local\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Default User\Downloads\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Default User\Documents\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Default User\Desktop\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Default User\AppData\Local\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\brec\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\brec\Downloads\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\brec\Documents\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\brec\Desktop\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\brec\AppData\Roaming\Microsoft\Windows\Start Menu\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\brec\AppData\Local\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Admin\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Admin\Downloads\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Admin\Documents\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Admin\Desktop\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Admin\AppData\Local\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\áàòü\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\ProgramData\Microsoft\Windows\Start Menu\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\ProgramData\How_return_files.txt
2017-02-27 15:55 - 2016-08-21 17:29 - 7332864 _____ (© Кириллов А.П.) C:\Users\бать\AppData\Local\Temp\reklama_go.exe
2017-02-27 12:15 - 2016-08-21 17:29 - 7332864 _____ (© Кириллов А.П.) C:\Users\бать\AppData\Local\Temp\reklama_zo.exe
2013-06-03 10:58 - 2012-11-12 18:23 - 7460864 _____ (© Кириллов А.П.) C:\Users\brec\AppData\Local\Temp\reklama_zo.exe
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
badumm

badumm

Опубликовано
  • Автор
Опубликовано

Выполнил скрипт. Заархивировал файлы из папки C:\Users\Admin\Downloads\cripterа, там так же лежат зашифрованные файлы, не уверен, но возможно в этой папке Kaspersky Removal Tool нашел вирус.

Fixlog.txt

cripterа.rar

Ссылка на комментарий
Поделиться на другие сайты
badumm

badumm

Опубликовано
  • Автор
Опубликовано

Получили ключ. К сожалению, исходников вируса не осталось, нет окна, в которое нужно ввести все данные. Есть ли какой-то простой скрипт, с помощью которого можно запустить расшифровку?

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Пришлите ключ, пожалуйста, я проверю у себя кое-что. В архиве с ключом пришлите несколько зашифрованных файлов размером менее 1 мегабайта и несколько размером более 1 мегабайта

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Kdademon
      Помогите в расшифровке файлов после вируса шифровальщика Trojan-Ransom.Win32.Mimic.gen
      Автор Kdademon
      02.072025 обнаружили что на 2 компа (Windows 7) попал вирус шифровальщик 
      подключились предположительно по RDP
      зашифровали все базы 1с, бэкапы, архивы, документы
      файл с обращением от вымогателей нашли
      Kaspersky Virus Removal Tool нашел вируc HEUR:Trojan-Ransom.Win32.Mimic.gen

      Подскажите порядок действий по лечению этих компов и возможна ли дешифровка?
      Как можно обезопасится от подобного?
      Поможет ли установка Kaspersky на все компьютеры сети?

      Во вложении архив с примерами зашифрованных файлов из папки php
      Файлы постарался выбрать стандартные, общеизвестные может поможет в дешифровке
      Также приложил скрин с проверкой от Kaspersky Virus Removal Tool

      php.rar
    • gulyeza
      [РЕШЕНО] Скачал и запустил Trojan
      Автор gulyeza
      Здравствуйте, вчера умудрился попостятся на троян. Если рассказывать кратко, качал зип архив с UploadHeaven, но начались перебросы по ссылкам и по итогу скачался exe файл. Сразу закинуть его в проверку ума не хватило, да и повода сомневается не было, очень много в свое время оттуда качал, вот и подумал, может у них обновление какое то, что распаковщик теперь такой. Но стоило только открыть, сразу антивирус начал всю систему грузить, начал пытаться закрывать, но только через диспетчер смог. Так же в диспетчере появились 3 новые процесса, 1 из которых не запомнил, а остальные 2 были: reason cybersecurite и reason cybersecurite vpn. Начал через параметры их удалять, так то даже получилось. Затем зашел в виндоус дефендер, он как то странно тупил, подгружался постоянно, через пару секунд вообще выключился. Ну я и нажал снова включить, как я понял, это и была главная ошибка, потому что высветилось окно подтверждения с изменением файлов (стандартное когда запускаешь антивирусник) я и нажал на "Да". На первый взгляд вообще ничего не поменялось, подумал что пора винду сносить. Все переустановил, правда не с внешнего накопителя, а локально, с этого же ноута. И есть подозрения, что особо красок не поменяло, потому что при заходе в дефендер пишет, мол "Ваш системный администратор ограничил доступ", пытался это выключить по гайдам на сайте майкрасофта, ничего не сработало. Подумал надо и биос сбросить, зашел потыкался, не особо понял поменялось ли вообще что то.
      Прикладываю скан того exe с вирус тотала:
      Так же файл с логами:CollectionLog-2025.06.22-19.56.zip
      Еще, после сбора логов, эта надпись "Ваш системный администратор ограничил доступ" в дефендере пропала, не знаю хорошо это или плохо.
      Заранее Спасибо за ответ, надеюсь проблема решаема.
      upd: после сброса винды, запускал скан доктор веба, ничего не нашел
    • foroven
      [РАСШИФРОВАНО]Шифровальщик Trojan-Ransom.Win32.Xorist.ln
      Автор foroven
      Добрый день. Схватили шифровальщик. Кажется что взломали RDP доступ т.к был открыт наружу с слабым паролем. Зашифрованные файлы имеют расширение *.er
      Файлы с обычным расширением где есть файл *.er не открываются. В основном зашифрованы базы 1С и полностью пропал из системы один диск, отображается в диспетчере дисков, как нераспределенный. Но программой восстановления удалось восстановит все файлы, но они также зашифрованы.

      Копии.7z
    • nikolai.ilyin
      Ransom.Win32.Generic
      Автор nikolai.ilyin
      Зашифровали всю сеть 
      virus.7z Addition.txt
    • DoctorRS
      Trojan-Ransom.Win32.Mimic
      Автор DoctorRS
      Добрый день. Зашифровали файлы Trojan-Ransom.Win32.Mimic, не работает 1С и файлы офис. Помогите пожалуйста есть ли варианты дешифрации ? 
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
×
×
  • Создать...