Перейти к содержанию

Как расшифровать файлы .java (возможно CrySiS/Dharma)

Алео
 Поделиться

Рекомендуемые сообщения

Алео

Алео

Опубликовано
Опубликовано
Коллеги подцепили вирус шифровальщик. Были заражены компьютеры с информацией по Итальянским партнерам, то что могли восстановить восстановили но осталось много важных документов без копии. Файлы приобрели название типа

miofile.txt.txt.id-0CBE61F3.[Vegas_MOZ6@protonmail.com].java

12 Traccia 12.wma.id-0CBE61F3.[Vegas_MOZ6@protonmail.com].java

 

Что делать и кто виноват в ненадлежащей безопасности ясно. Нужно понять есть ли возможность не идти на поводу у хакеров и не платить или все же придется платить. Каковы шансы обойтись без оплаты хакерам? Восстанавливать по любому придется только вот если платить то лучше не хакерам. 

Пробовал ransomwarefiledecryptor на образцы зашифрованных файлов применить. В поле тип вируса писал не знаю - определялось как Crysis зараженные файлы находились а расшифрованные=0

 Те кто мне пересылал написали что это один из вариантов CrySiS называется Dharma но они не уверены

Выслали мне наконец требуемый Collectionlog+требование оплатить расшифровку+ есть образцы зашифрованных файлов. несколько файлов в зашифрованном и не зашифрованном виде - оригинал+зашифрованная версия (то что предлагалось расшифровать бесплатно)

 

CollectionLog-2018.02.27-17.30.zip

образцы файлов зашифрованный и оригинал.zip

требование оплатить расшифровку.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('OracleRemExecServiceV2');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\123.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\Administrator\AppData\Roaming\123.exe', '');
 QuarantineFile('C:\Users\Administrator\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\123.exe', '');
 QuarantineFile('C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\123.exe', '');
 QuarantineFile('C:\Users\VALFER~1\AppData\Local\Temp\oraremservicev2\RemoteExecService.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\123.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '32');
 DeleteFile('C:\Users\Administrator\AppData\Roaming\123.exe', '32');
 DeleteFile('C:\Users\Administrator\AppData\Roaming\Info.hta', '32');
 DeleteFile('C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\123.exe', '32');
 DeleteFile('C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '32');
 DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\123.exe', '32');
 DeleteFile('C:\Users\VALFER~1\AppData\Local\Temp\oraremservicev2\RemoteExecService.exe', '32');
 DeleteService('OracleRemExecServiceV2');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', '123.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Administrator\AppData\Roaming\Info.hta');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Рик

Рик

Опубликовано
Опубликовано (изменено)

-


Прошу прощения за задержку. После первого запуска AutoLogger и присланного Вам по итогам CollectionLog сервер перестал работать. 2 дня специалисты пытались восстановить сервер и выполнить скрипт, но безуспешно. Сервер который анализировался изначально восстановлению не подлежит, но зашифрованные файлы остались.
Однако удалось найти отдельный компьютер, который по подозрениям мог быть источником заражения.
В приложении новый CollectionLog  именно с этого компьютера. Скрипт пока не делали поскольку хотел у Вас узнать надо ли его делать. Так как объект анализа изменился и отличается от первоначального. Готовы сделать скрипт если Вы подтвердите. 

CollectionLog-2018.03.02-18.11.zip

Изменено пользователем Рик
Рик

Рик

Опубликовано
Опубликовано (изменено)

@Рик, почему вы пишите с другой учётной записи? 

Да проблема в том что на момент написания первого сообщения в данной теме у меня не было компьютера и данных на Рика (я изначально под Риком заходил на форум где-то год назад), вот и пришлось новый ник делать. Сегодня писал с родного компьютера там по умолчанию Рик стоит. Согласен это не совсем хорошо поэтому если нужно прошу удалить лишнюю запись (обе были сделаны на идентичные ящики только с разницей один mail другой gmail.

Можете Алео удалить а я например по ссылке в ящике подтвержу (на ваше усмотрение).

@Рик, почему вы пишите с другой учётной записи? 

Поправка оба ящика на gmail и они не идентичны (могу в ЛС отправить все данные по ящику и нику). Предупреждение видел.

Больше такого не повторится.

В прошлый раз мы пытались решить проблему знакомой компании с вирусом Hakuna Matata, тогда ввиду ограниченного времени пришлось обращаться в компанию и платить деньги (по сути тем же хакерам). Ключ сумели подобрать. Теперь проблема возникла у партнеров той компании.

Сейчас времени чуть больше  и очень не хочется опять обращаться к около легальным компаниям. Тем более что после атаки еще и сервер накрылся. Проблема как и в первом случае идентична зашифрованы файлы, которые нужны для отчетности компании и работы с госструктурами. Без расшифровки невозможно, а кормить хакеров тоже не хочется. Вот и пишу сюда с надеждой.

Информация

Ответил в ЛС

Изменено пользователем Soft
Sandor

Sandor

Опубликовано
Опубликовано

сервер перестал работать

Вероятно это совпадение. В скрипте ничего жизненно важного для системы не задето.

 

компьютер, который по подозрениям мог быть источником заражения

Пока никаких следов не видно.

 

Дополнительно на этом же компьютере:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Рик

Рик

Опубликовано
Опубликовано

 

 


В скрипте ничего жизненно важного для системы не задето.

Да в этом сомнений нет. Сервер перестал работать до скрипта. Мы не смогли на нем выполнить процедуру скрипта. Сервер просто больше не включился.

В связи с этим вопрос нужно ли выполнять процедуру описанную во 2м сообщении этой темы?

Процедуру Farbar Recovery Scan Tool постараемся сделать

Sandor

Sandor

Опубликовано
Опубликовано

нужно ли выполнять процедуру описанную во 2м сообщении этой темы?

Нет, не нужно. Это было написано только для той системы.
regist

regist

Опубликовано
Опубликовано

 

 


Да в этом сомнений нет. Сервер перестал работать до скрипта.
У вас был активный вирус в Автозагрузке. Так что скорее всего он просто дошифровал какие-то важные для сервера файла и из-за этого сервер лёг. А сбором логов скорее всего совпало из-за того, что во время сбора произошло обращение (чтение) к этим файлам.
Sandor

Sandor

Опубликовано
Опубликовано

Файл

C:\Users\a.cavatorta\Documents\scpres.vbs

Вам известен?
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
C:\WINDOWS\system32\default_error_stack*.txt
2018-02-26 14:43 - 2018-02-26 14:44 - 000000255 _____ C:\Users\a.cavatorta\Desktop\X VALOTTA FILE DA RECUPERARE.txt
2018-02-26 22:54 - 2018-02-26 22:54 - 000000000 _____ () C:\Users\a.cavatorta\AppData\Local\Temp\1.dll
Zip: c:\FRST\Quarantine\
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

На рабочем столе появится архив Date_Time.zip (Дата_Время)

Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Подробнее читайте в этом руководстве.

Рик

Рик

Опубликовано
Опубликовано

 

 


C:\Users\a.cavatorta\Documents\scpres.vbs Вам известен?

Не уверен. А что это? Может местным он известен. Скажите что с этим надо делать. Остальную инструкцию сейчас будем делать

Sandor

Sandor

Опубликовано
Опубликовано

Скажите что с этим надо делать

Упаковать в архив и прикрепить к следующему сообщению.
Рик

Рик

Опубликовано
Опубликовано

 

 


Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Я правильно понял что код нужно не просто скопировать а вставить в поле поиск прежде чем нажать Фикс. А то у вас не указано что его надо вставлять куда-либо. (Уточняю чтобы все правильно сделать)

Файл scpres.vbs прикрепим


 

 


Я правильно понял что код нужно не просто скопировать а вставить в поле поиск прежде чем нажать Фикс. А то у вас не указано что его надо вставлять куда-либо. (Уточняю чтобы все правильно сделать) Файл scpres.vbs прикрепим

Вопрос снимается, прочитал инструкцию

Рик

Рик

Опубликовано
Опубликовано

Вот требуемые файлы. Написал также письмо. Однако туда scpres.vbs не захотел прикрепляться (система пересылки такие файлы не пропускает). Отправил через ссылку.

Ждем дальнейших указаний...

Fixlog.zip

scpres.zip

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • NoEndOutcry
      Тормозит компьютер, регулярные синие экраны и перезагрузка
      Автор NoEndOutcry
      Добрый день, у меня проблема с тормозами и постоянными перезагрузками на компьютере с виндовс 10, своими силами решить не удалось, автозапуск чистил, антивирусом проверял, посторонних процессов не вижу. 
       

      Процессор    AMD Ryzen 9 5900X 12-Core Processor               3.70 GHz
      Оперативная память    128 ГБ
       
      Проблема проявляется иногда раз в неделю в виде синего экрана, иногда 10 раз за день, как сегодня. Комп повисает и просто перестает на что-то реагировать. Регулярно начинают выть вентиляторы, хотя нагрузки никакой нет, а железо достаточно мощное что бы мелкие фоновые задачи решать не греясь. Подозреваю что закрался майнер или какой-то вирус. Установлен касперский премиум, но он проблем не видит. 
      В диспетчере задач тоже не вижу ничего подозрительного. Прогнал сканирование и логгер, результаты прикладываю. 
      Буду признателен совету как поступить для дальнейшей диагностики и по решению проблемы. 
       

      CollectionLog-2025.12.10-14.30.zip
    • Dmitry2811
      [РЕШЕНО] trojanstarter,keysender, Трояны, майнеры, нацеплял за много лет
      Автор Dmitry2811
      сегодня играл в игру и обратил внимание, что в целом комп стал совсем слабо тянуть по производительности, потыкался в диспетчере задач с ЦП, все стало норм, обратил внимание что снова появились просадки, когда открывал диспетчер то все было ок, дальше самое интересное)))
      я начал изучать подробности и процессы и диспетчер сам начал закрываться, я сразу же полез в браузер качать антивирусы и все такое прочее, как вдруг браузер резко начал сам выключаться)) с командной строкой и диспетчером задач то же самое, после перезагрузки еле как успел врубить безопасный режим, скачал cureit, нашло 28 пунктов, далее будут на фото, сори что в таком качестве, я не знаю правильно сделал или нет что удалил их, но на нервяке был сильном, через AV block remover прогнал, удалил пользователя John, потом на второй раз прошел cureit, нашло одного трояна, и второй раз шлифанул через AVBR, через скрытый файл hosts вернул доступ к сайтам, прошу прощения что так расписал, но на таком нервяке сейчас…помогите пожалуйста, добить этот треш
       
    • babytati
      tool.btcmine.2714
      Автор babytati
      Здравствуйте, в последнее время начал замечать странную работу компьютера в разных играх (незначительные просадки fps, странные баги, частые фризы). Проверил компьютер через DrWeb - было обнаружено "10 угроз" одной из которых являлся тот самый файл tool.btcmine.2714. Я решил в том же самом DrWeb обезвредить все вредоносные файлы, которые нашла программа (я уже понял, что скорее всего это никак не помогло).После того, как антивирус закончил свою работу, я решил проверить, не исчезла ли проблема. Не исчезла - в играх всё те же баги, внезапные просадки и зависания, хотя в диспетчере задач явных признаков переработки процессора и видеокарты не было. Наткнулся на информацию, что "tool.btcmine.2714" в принципе CureIt не может удалить (хотя при последующих проверках через CureIt никаких вредоносных файлов обнаружено не было).  Вдобавок ко всему этому, не могу проверить компьютер через другие антивирусы (тот же самый RogueKiller), установка просто блокируется. Помогите пожалуйста разобраться в проблеме.
       
    • Федор Игнашов
      стиллер на пк
      Автор Федор Игнашов
      Где то предположительно недели 3-4 назад регистрировался на множествах сайтах (знакомств и не только),изначально угрозе подверглась моя основная почта (была взломана) .Я поменял пароль и подумал что это поможет но через недели полторы произошел казус ,моя уже другая почта которая привязана к акаунту steam был тоже взломана причем никаких писем на почту о входе и о смене пароля не приходило. Я уверен что на моем пк стиллер куки или что то подобное  CollectionLog-2025.12.01-16.51.zip
    • Gloomyghost
      Не могу удалить вирус: MEM:Trojan.Win32.SEPEH.gen и Trojan-Dropper.Win32.Injector.gen через касперский не удаляется. Прошу помощи.
      Автор Gloomyghost
      Помогите пожалуйста разобраться
×
×
  • Создать...