Перейти к содержанию

Шифровальщик fun07306

levinyui
 Поделиться

Рекомендуемые сообщения

levinyui

levinyui

Опубликовано
Опубликовано

Добрый день!
Сервер взломали по RDP и запустили шифровальщик из исполняемого файла на рабочем столе 1.exe. Минут через 10 активность была замечена, процесс остановили, пароль от взломанной учетки изменили, закрыли RDP. От шифровальщика остался исполняемый файл 1.exe, папка в профиле взломанной учетки 1 и текстовые файлы со следующим содержанием:
 
Все файлы на вашем ПК зашифрованы!
Для расшифровки файлов, вам необходимо написать на email: funox@ya.ru
В письме необходимо указать ваш id: fun07306
 
Стоимость расшифровки файлов 12500 руб., спешите! Скоро цена будет выше!
 
Проверка Kaspersky Virus Removal Tool 2015 не обнаружила угроз.
Прилагаю exe файл шифровальщика, папку, созданную шифровальщиком в профиле, зараженный файл, текст с требованием, CollectionLog

 

Строгое предупреждение от модератора Mark D. Pearlstone
Не загружайте вредоносные файлы на форум..

КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt

распискаБрук.doc.fun07306.7z

CollectionLog-2017.05.28-23.30.zip

thyrex

thyrex

Опубликовано
Опубликовано

C:\ProgramData\System64\mscaut.exe проверьте на virustotal.com и пришлите ссылку на результат проверки

thyrex

thyrex

Опубликовано
Опубликовано

Заархивируйте этот файл с паролем virus, выложите на dropmefiles.com и пришлите ссылку мне в личные сообщения

thyrex

thyrex

Опубликовано
Опубликовано

Обменник пока не доступен, скачаю файл позже.

 

Проверьте ЛС

  • Спасибо (+1) 1
levinyui

levinyui

Опубликовано
  • Автор
Опубликовано

Помогло, спасибо вам огромное! Расскажу про базу 1С, вдруг кому пригодится.

При восстановлении файловой базы 1cv7 столкнулся с тем, что файлы DBF(не все) были зашифрованы по содержанию, но не переименованы. Шифровальщик работал по базе, в которой работали пользователи, и не смог переименовать эти файлы, однако смог зашифровать содержимое. Пришлось из конфигуратора запускать отладчик базы - он ругнулся на 170 битых файлов DBF. Взяв из отчета об ошибках имена DBF файлов, я создал батник вида

ren XXXXXX.DBF XXXXXX.DBF.fun07306
ren YYYYYY.DBF YYYYYY.DBF.fun07306

 

(макросы notepad++ в помощь). После переименования битых файлов их корректно отработал дешифровальщик, и база, пройдя проверку и восстановление, заработала.

Еще раз спасибо! Пойду наводить порядок.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sv_igor
      Не могу расшифровать файлы. Xorist(походу)
      Автор sv_igor
      Добрый день споймал вирус как в аналогичной ветке
       
      Все файлы на вашем ПК зашифрованы! Для расшифровки файлов, вам необходимо написать на email: boxfu@ya.ru В письме необходимо указать id вашего ПК: box1736   Стоимость расшифровки 12500 руб., спешите скоро цена вырастет!   часть расшифровывается с помощью TrendMicro(процентов наверно 20-30) а остальная нет   Помогите с расшифровкой. В вложении зашифрованный файлик в архиве    
       
      GarantiBank_Accounts_140717.pdf.rar
    • Валерий Назаренко
      На сетевом хранилище зашифровало файлы
      Автор Валерий Назаренко
      здравствуйте ув. форумчане. прошу помочь. на сетевом хранилище зашифровало файлы. Зашифрованые файлы имеют вид "oldfilename.xls.fun07306 ". Как с этим бороться? если можно дайте пошаговую инструкцию.
    • Flatcher
      Шифрование fun07306
      Автор Flatcher
      у меня точно такая же ситуация. Файл с требованиями аналогичен слово в слово. Что мне можно сделать?
    • Александр75
      Шифровальщик Xorist
      Автор Александр75
      Здравствуйте!
      Вирус зашифровал все данные. KVRT определили как Xorist. Пытался использовать XoristDecryptor - не помогло! Так же пытался дешифровать с помощью Emsisoft Decripter взятого с сайта Nomoreransom.org - часть файлов восстановилась - но самые важные файлы (база 1С) не восстановились!
       
      Текстовый файл шифровальщика содержит:
       
      "Внимание! Все Ваши файлы зашифрованы!
      Чтобы восстановить свои файлы и получить к ним доступ,
      отправьте сообщение на этот имейл decripted2017@gmail.com
      и получите дальнейшие инструкции

      У вас есть 5 попыток ввода кода. При превышении этого
      количества, все данные необратимо испортятся. Будьте
      внимательны при вводе кода!"
       
      Заранее благодарю!
       
      CollectionLog-2017.06.01-16.44.zip
    • Kwaxs
      Шифровальщик на Windows Server 2008 R2
      Автор Kwaxs
      Доброго времени суток,
       
      шифровальщик, очень похожий на упомянутый в этой ветке, зашифровал все *.ini, *.dll и *.crt на Windows Server 2008 R2. Предоставить зараженные экзешники (лежавшие в папках с такими же названиями и такой же структурой, как в другой теме) уже не получится - они были стерты админом вручную, поскольку Rescue Disk на них никак не отреагировал и сказал "ОК". Автору упомянутой темы был прислан дешифратор в ЛС; можно ли получить его копию и попробовать восстановить файлы?
       
      Зашифрованные файлы получили дополнительное расширение *.ERROR-ID-631001111 . На дополнительные вопросы насчет вируса отвечу насколько смогу подробно.
       
      Заранее благодарен,
       
      Максим
×
×
  • Создать...