Перейти к содержанию

Вирус шифровальщик szems@tutanota.com

Voventys
 Share

Рекомендуемые сообщения

Voventys Новичок

Voventys

Опубликовано
Опубликовано (изменено)

Здравствуйте! 

На компьютере, похоже через rdp, запустился вирус шифратор, при этом исполняемый файл, находился на другом компьютере в открытой сетевой папке (сохранен).

Есть ли возможность расшифровать файлы?

FRST.ZIP

CollectionLog-2018.05.24-19.40.zip

Изменено пользователем Voventys
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Файл README.hta с сообщением вымогателей для связи и пример зашифрованного файла прикрепите в архиве к следующему сообщению

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Попробуйте поискать на Рабочем столе одного из пользователей (скорее всего того, пароль к которому подобрали) файл 5WWAPYMS8FZVV67AGLH1S603XJCCS46ZI6FCJ4Q3-lan.txt и если найдется, прикрепите к сообщению

Ссылка на комментарий
Поделиться на другие сайты
Voventys Новичок

Voventys

Опубликовано
  • Автор
Опубликовано

К сожалению ничего подобного найти не удалось. Искал по маске *lan.txt и *5WWAPY* на рабочем столе взломанного пользователя только 3 зашифрованных файла, один из которых ранее был прислан. Стоит отметить, что приложение было мною завершено из диспетчера задач. А шифрование закончилось когда я вынул сетевые провода(RJ45) из сетевого хранилища которое в тот момент вирус шифровал.. далее был обнаружен комп и приложение, запущенное от одного из пользователей, которое уже без признаков активности висело в процессах.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\Documents\README.hta

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Roaming\README.hta

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Roaming\Microsoft\Windows\Start Menu\README.hta

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.hta

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\LocalLow\README.hta

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Local\Temp\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Все пользователи\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Volkov\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Volkov\Desktop\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Volkov\AppData\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Public\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Public\Downloads\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Public\Documents\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\ProgramData\README.hta

 

Все эти файлы запакуйте и пришлите

 

На компьютере, похоже через rdp, запустился вирус шифратор, при этом исполняемый файл, находился на другом компьютере в открытой сетевой папке

 

Предыдущий файл README.hta присылали с компьютера, на котором был найден исполняемый файл? Если нет, то его тоже пришлите. Там же стоит поискать и текстовый файл, о котором я спрашивал ранее

Ссылка на комментарий
Поделиться на другие сайты
Voventys Новичок

Voventys

Опубликовано
  • Автор
Опубликовано

 

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\Documents\README.hta

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Roaming\README.hta

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Roaming\Microsoft\Windows\Start Menu\README.hta

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.hta

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\LocalLow\README.hta

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Local\Temp\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Все пользователи\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Volkov\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Volkov\Desktop\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Volkov\AppData\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Public\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Public\Downloads\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Public\Documents\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\ProgramData\README.hta

 

Все эти файлы запакуйте и пришлите

 

На компьютере, похоже через rdp, запустился вирус шифратор, при этом исполняемый файл, находился на другом компьютере в открытой сетевой папке

 

Предыдущий файл README.hta присылали с компьютера, на котором был найден исполняемый файл? Если нет, то его тоже пришлите. Там же стоит поискать и текстовый файл, о котором я спрашивал ранее

 

 

Прикрепил. Первый ридми был с третьего компьютера куда на открытые сетевые папки вирус заходил и шифровал файлы. На всех упомянутых компьютерах файла *lan.txt не нашлось

sbor.zip

Ссылка на комментарий
Поделиться на другие сайты
Voventys Новичок

Voventys

Опубликовано
  • Автор
Опубликовано (изменено)

Итоги - 98 локальных файлов расшифровалось, и ни одного с трех других машин. Точнее пока ни одного так как на четвертой машине (а точнее сетевой накопитель) огромное количество файлов, из них примерно 60-70 процентов успело зашифроваться. Дешифровщик, натравлен на эту папку, но пока ничего. Правда есть редкие файлы которые вроде как дешифрованы, но они не открываются.

прикрепляю логи декриптора ( до попытки расшифровать сетевой накопитель, но с пробами файлов с других машин)

1 архив локальная машина (почти все расшифровано)

2 архив сетевая папка (не расшифровывается)

3 архив откуда первый ридми (ничего критичного нет)

4 архив сетевой накопитель (много нужных файлов, пока никто не дешифровался)

CryptConsoleDecrypter.zip

send1.zip

send2.zip

send3.zip

send4.zip

Изменено пользователем Voventys
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • sater123
      Вирус шифровальщик
      От sater123
      Добрый день. Зашифровались файлы размером более 8 мегабайт (их почта datastore@cyberfear.com). Помогите пожалуйста.
      Зашифрованные файлы не могу прикрепить, так как их размер более 5Мб.
      FRST.txt Addition.txt
    • Сергей194
      Вирус шифровальщик, нет доступа к базе 1с
      От Сергей194
      Здравствуйте. Поймали шифровальщик, база 1с недоступна. работа предприятия заблокирована. Выручайте!
      Desktop.rar
    • Dmitryplss
      Вирус шифровальщик заменил расширения на Elpaco-team
      От Dmitryplss
      Добрый вечер, столкнулись с заразой в виде щифровальщика от Elpaco-team, по итогу защифрованны все файлы, нет доступа к базам 1С, в локальной сети так же зашифрованные файлы
      File.rar Addition.txt FRST.txt
    • DenSyaoLin
      Вирус шифровальщик заменил расширения на Elpaco-team
      От DenSyaoLin
      добрый вечер, столкнулись с заразой в виде щифровальщика от Elpaco-team, по итогу защифрованны все файлы, нет доступа к базам 1С нет доступа к бэкапам и точкам восстановления. читал темы, и понимаю что дешифратора от этой гадости еще нет, хотелось бы надеяться на чудо и может вдруг что то получится. спасибо заранее
      по тому что уже сделал, выполнил проверку касперским, что то он нашел, удалил, а вот что нашел не подскажу, оставлял проверку на ночь.
      необходимые файлы прикладываю
      Addition.txt Files.rar FRST.txt
    • scopsa
      Вирус-шифровальщик "datastore@cyberfear"
      От scopsa
      Здравствуйте у меня тоже самое, можно что то с  этим сделать
      Сообщение от модератора kmscom Сообщение перенесено из темы Вирус-шифровальщик "datastore@cyberfear"  
×
×
  • Создать...