Перейти к содержанию

Вирус шифровальщик szems@tutanota.com

Voventys
 Share

Рекомендуемые сообщения

Voventys Новичок

Voventys

Опубликовано
Опубликовано (изменено)

Здравствуйте! 

На компьютере, похоже через rdp, запустился вирус шифратор, при этом исполняемый файл, находился на другом компьютере в открытой сетевой папке (сохранен).

Есть ли возможность расшифровать файлы?

FRST.ZIP

CollectionLog-2018.05.24-19.40.zip

Изменено пользователем Voventys
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Файл README.hta с сообщением вымогателей для связи и пример зашифрованного файла прикрепите в архиве к следующему сообщению

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Попробуйте поискать на Рабочем столе одного из пользователей (скорее всего того, пароль к которому подобрали) файл 5WWAPYMS8FZVV67AGLH1S603XJCCS46ZI6FCJ4Q3-lan.txt и если найдется, прикрепите к сообщению

Ссылка на комментарий
Поделиться на другие сайты
Voventys Новичок

Voventys

Опубликовано
  • Автор
Опубликовано

К сожалению ничего подобного найти не удалось. Искал по маске *lan.txt и *5WWAPY* на рабочем столе взломанного пользователя только 3 зашифрованных файла, один из которых ранее был прислан. Стоит отметить, что приложение было мною завершено из диспетчера задач. А шифрование закончилось когда я вынул сетевые провода(RJ45) из сетевого хранилища которое в тот момент вирус шифровал.. далее был обнаружен комп и приложение, запущенное от одного из пользователей, которое уже без признаков активности висело в процессах.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\Documents\README.hta

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Roaming\README.hta

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Roaming\Microsoft\Windows\Start Menu\README.hta

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.hta

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\LocalLow\README.hta

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Local\Temp\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Все пользователи\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Volkov\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Volkov\Desktop\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Volkov\AppData\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Public\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Public\Downloads\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Public\Documents\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\ProgramData\README.hta

 

Все эти файлы запакуйте и пришлите

 

На компьютере, похоже через rdp, запустился вирус шифратор, при этом исполняемый файл, находился на другом компьютере в открытой сетевой папке

 

Предыдущий файл README.hta присылали с компьютера, на котором был найден исполняемый файл? Если нет, то его тоже пришлите. Там же стоит поискать и текстовый файл, о котором я спрашивал ранее

Ссылка на комментарий
Поделиться на другие сайты
Voventys Новичок

Voventys

Опубликовано
  • Автор
Опубликовано

 

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\Documents\README.hta

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Roaming\README.hta

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Roaming\Microsoft\Windows\Start Menu\README.hta

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.hta

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\LocalLow\README.hta

2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Local\Temp\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Все пользователи\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Volkov\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Volkov\Desktop\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Volkov\AppData\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Public\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Public\Downloads\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Public\Documents\README.hta

2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\ProgramData\README.hta

 

Все эти файлы запакуйте и пришлите

 

На компьютере, похоже через rdp, запустился вирус шифратор, при этом исполняемый файл, находился на другом компьютере в открытой сетевой папке

 

Предыдущий файл README.hta присылали с компьютера, на котором был найден исполняемый файл? Если нет, то его тоже пришлите. Там же стоит поискать и текстовый файл, о котором я спрашивал ранее

 

 

Прикрепил. Первый ридми был с третьего компьютера куда на открытые сетевые папки вирус заходил и шифровал файлы. На всех упомянутых компьютерах файла *lan.txt не нашлось

sbor.zip

Ссылка на комментарий
Поделиться на другие сайты
Voventys Новичок

Voventys

Опубликовано
  • Автор
Опубликовано (изменено)

Итоги - 98 локальных файлов расшифровалось, и ни одного с трех других машин. Точнее пока ни одного так как на четвертой машине (а точнее сетевой накопитель) огромное количество файлов, из них примерно 60-70 процентов успело зашифроваться. Дешифровщик, натравлен на эту папку, но пока ничего. Правда есть редкие файлы которые вроде как дешифрованы, но они не открываются.

прикрепляю логи декриптора ( до попытки расшифровать сетевой накопитель, но с пробами файлов с других машин)

1 архив локальная машина (почти все расшифровано)

2 архив сетевая папка (не расшифровывается)

3 архив откуда первый ридми (ничего критичного нет)

4 архив сетевой накопитель (много нужных файлов, пока никто не дешифровался)

CryptConsoleDecrypter.zip

send1.zip

send2.zip

send3.zip

send4.zip

Изменено пользователем Voventys
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • scopsa
      Вирус-шифровальщик "datastore@cyberfear"
      От scopsa
      Здравствуйте у меня тоже самое, можно что то с  этим сделать
      Сообщение от модератора kmscom Сообщение перенесено из темы Вирус-шифровальщик "datastore@cyberfear"  
    • Gikboer
      Вирус-шифровальщик "datastore@cyberfear"
      От Gikboer
      Здравствуйте, подскажите пожалуйста. На компьютер попал вирус-шифровальщик и теперь все файлы стали называться с расширением "datastore@cyberfear". Вирус скорее-всего называется - Phobos.
    • Forrestem
      Вирус-шифровальщик Elpaco-team
      От Forrestem
      В МО одна особа скачала письмо из папки спам, в следствии чего поймала вирус шифровальщик, вопрос, есть ли возможность как то восстановить данные?
      Addition.txt FRST.txt
    • Radik_Gilmanov
      вирус-шифровальщик LockBit Black
      От Radik_Gilmanov
      все файлы зашифрованы с расширением wbmVRwkmD, нужна помощь в расшифровке 
      А.Даутов.rar FRST_17-10-2024 23.55.28.txt
       
    • Vital888
      Вирус шифровальщик
      От Vital888
      Здравствуйте. Помогите пожалуйста. На компьютере с утра обнаружил зашифрованные файлы. 
       
×
×
  • Создать...