Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

Здравствуйте.

Судя по всему сломали учетку через RDP, в appdata/roaming пострадавшего юзера  лежат файлы 1task.exe и Info.hta. 1task.exe касперский определяет как  Trojan-Ransom.Win32.Crusis.to
 

К сожалению зайти на компьютер (win 2012) нет возможности, поскольку троян зашифровал файлы профилей пользователей.

В приложенном архиве файлы 1task.exe и Info.hta и пример зашифрованного файла. Возможно ли сделать какие-то выводы на основании этих файлов?

 

Спасибо.

Изменено пользователем mbear
Опубликовано

Кнопку Загрузить не нажали. Расшифровки этой версии скорее всего нет

Опубликовано

Действительно не нажал.

 

Сообщение от модератора thyrex
Скачал, удалил
Опубликовано

1task.exe удаляйте. Это сам шифратор.

 

С расшифровкой помочь не сможем.

Опубликовано

дешифровщик и пары ключей могут как-то помочь вам в работе?

Опубликовано

Они уникальные для каждого пострадавшего, если не ошибаюсь.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • st0rk
      Автор st0rk
      Добрый день. Сканировал Kaspersky Virus Removal Tool, нашло и удалило 4 штуки __new__.exe в разных местах Trojan-Ransom.Win32.Cryptor.fs
      Зашифровало все файлы как Имя.[stopper@india.com].wallet
      autologger отчет прилагаю, делал с безопасного режима, обычным способом не входит 
      в архиве по 2 файла - зараженный и нет, может поможет понять как их расшифровать...
      Очень надеюсь на Вашу помощь.
      files.zip
      CollectionLog-2016.12.21-18.16.zip
    • Klimat72
      Автор Klimat72
      Процесс шифровки не был завершен , обнаружен файл видимо шифровальщика - во вложении. Антивирус КИС, теневое копирование находились в отключенном состоянии. Автоматически логи собрать затруднительно, так как по rdp. При сканировании КИС-ом обнаружен троян:
      20.12.2016 10.52.34;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\denied.exe;C:\Users\ksusha\AppData\Roaming\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:52:34
      20.12.2016 10.27.55;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:27:55
       
      Прикрепляю архив с трояном, возможно сможете помочь с расщифровкой.
      FRST.txt 
       
      Спасибо.
    • AlexeyZ
      Автор AlexeyZ
      Приветствую,
      прошу помощи в расшифровке  -1A4B014A.{suri_namika@india.com}.xtbl
      лог в прицепе
       
      с Уважением,
       
      CollectionLog-2016.11.07-13.22.zip
    • Страхов Дмитрий
      Автор Страхов Дмитрий
      Просьба помочь с дешифратором.
       
      FRST.txt
      Addition.txt
    • Mike...
      Автор Mike...
      Ребята выручайте, зашифровался сервер с финансовой программой, предлагаемые касперским утилиты не помогают. Прикрепляю результаты сканирования программой FIRST.
      Addition.txt
      FRST.txt
×
×
  • Создать...