Перейти к содержанию
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

Шифровальщик dat

lf1xix
 Поделиться

Рекомендуемые сообщения

lf1xix Новичок

lf1xix

Опубликовано
Опубликовано (изменено)

Помогите расшифровать файлы, поймал этот вирус https://www.virustotal.com/ru/file/53bf757dc213d4cd1cc8bb757bb161ea6613636129a45f593830bc93e763802b/analysis/

файл удалён

CollectionLog-2018.06.17-22.22.zip

Изменено пользователем lf1xix
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

C:\Users\admin\Desktop\image.gif.dat

C:\Users\admin\Desktop\Downloads.zip.dat

C:\Users\admin\Desktop\VK link.rar.dat

C:\Users\admin\Desktop\doc_2018-06-05_17-03-17.mp4.dat

C:\Users\admin\Desktop\4_Grayscale_logo_on_transparent_101x73.png.dat

зархивируйте, выложите архив на sendspace.com и пришлите ссылку на скачивание

 

Кроме того, в папке с вирусом должен быть файл с именем 0. Его тоже пришлите в архиве.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR StartupUrls: Default -> "hxxp://www.trovi.com/?gd=&ctid=CT3319434&octid=EB_ORIGINAL_CTID&ISID=M120DA44A-C5AB-41C8-8D5A-0A58F805A642&SearchSource=55&CUI=&UM=6&UP=SP73941A9C-FDC0-49BD-AF27-F4575E63DAFB&SSPV=","hxxp://search.certified-toolbar.com/?si=41460&home=true&tid=592","hxxp://search.babylon.com/?affID=44444&tt=5212_2&babsrc=HP_ss&mntrId=bc735b2e000000000000000000000000","hxxp://searchou.com/?id=c69b4c70000000000000000000000000","hxxp://websearch.searchmainia.info/?unqvl=15","hxxp://websearch.searchiseasy.info/?pid=233&r=2013/08/27&hid=7216863296763018865&lg=EN&cc=RU&unqvl=33","hxxp://iron-start.com/","hxxp://www.trovi.com/?gd=&ctid=CT3319434&octid=EB_ORIGINAL_CTID&ISID=M120DA44A-C5AB-41C8-8D5A-0A58F805A642&SearchSource=55&CUI=&UM=6&UP=SP73941A9C-FDC0-49BD-AF27-F4575E63DAFB&SSPV=","hxxp://www.luckysearches.com/?type=hp&ts=1429562963&from=adc&uid=HitachiXHDS721050CLA362_JP1570HE3J89LK3J89LKX"
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
AlternateDataStreams: C:\Users\admin:Heroes & Generals [38]
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Вообще в том архиве, который Вы скачали, а потом запустили шифратор, должен был быть этот файл. Вспоминайте, откуда и что качали

Ссылка на комментарий
Поделиться на другие сайты
lf1xix Новичок

lf1xix

Опубликовано
  • Автор
Опубликовано (изменено)

скорее всего  этот файл  [удалено] я скачал, сам он без вирусов, но когда выскачало уведомления якобы новое обновления вышло, появилась доп ссылка яндекс  скачал файл назывался Project1.exe , ссылку пытался найти с вирусом она удалена

Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Это дроппер, как оказалось.

 

Все необходимое для шифрования можно найти в папке Temp/0

Запакуйте ее с паролем virus, выложите на sendspace.com и пришлите ссылку мне в личные сообщения.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Ситуация аналогична с предыдущей версией этого шифратора: каждый файл шифруется уникальным ключом, зависящим от времени. Каждый ключ шифруется RSA-2048 и записывается в конец файла. Имеющийся брутфорсер способен за приемлемое время подобрать ключ для весьма ограниченного набора типов файлов 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KOMK
      Шифровальщик zimmer1488
      Автор KOMK
      Доброго времени суток.
      Поймали шифровальщик.Атакована вся организация. Выясняем источник откуда и как,но раскидался он по рдп на как минимум 7 рабочих мест, включая серв  АД и 1С. Так же на одном из предполагаемых источников заражения была обнаружена программа Everything API и крипто-программа КАРМА,мб оно как-то даст какую-то полезность?
      А так же папка с файлами именованная как "automim1"?
      Скажите вообще есть ли надежда что как-то можно найти остатки шифровальщика? Шифрованные файлы и файл записку прилагаю в архиве с паролем "virus":
      Остальное не знаю как добавить,вес больше 5мб получается.
       
      sekr_2.7z
    • Игорь_Белов
      Шифровальщик AES
      Автор Игорь_Белов
      Доброго времени суток. 
      Прошу помощи, словил вирус шифровальщик, недавно созданный сервер для теста 1с, поймал вирус, файлы баз данных зашифровались. 
      Прошу помочь в определение вируса, по возможности расшифровать. И как его побороть.
       
      scan.zip
    • darksimpson
      Помогите пожалуйста с шифровальщиком
      Автор darksimpson
      Добрый день.

      Помогите пожалуйста с определением зловреда и, возможно, с расшифровкой.

      Прикрепляю архив с логами FRST, двумя зашифрованными файлами и запиской.

      Спасибо!
      p4.zip
    • Albina
      На сервер попал шифровальщик ((
      Автор Albina
      Добрый день. Словили шифровальщик. Помогите восстановить файлы. Бэкапов не делали((
      Анализ системы при помощи Farbar сделали. Архив с файлами прилагаем.
      С надеждой, Альбина
      Shortcut_23-04-2025 17.30.07.txt Logs.zip
    • __Михаил__
      Шифровальщик IxehUe8Rg
      Автор __Михаил__
      Добрый! 
      Пожалуйста, помогите расшифровать файлы на компьютере.
      Шифровальщик IxehUe8Rg.
      Файлы образцы и требование выкупа во вложении.
      Анализ_2.xlsx.rar
       
      Я так понимаю это CriptomanGizmo и с ним проблема.
      У меня есть несколько копий файлов не зашифрованных , с другого устройства.
      Может это поможет?
×
×
  • Создать...