Зашифрованы файлы Trojan.Encoder.11539
Автор
EasyCat
в Помощь в борьбе с шифровальщиками-вымогателями
-
Похожий контент
-
Автор zoic
Добрый день!
можно ли что-то сделать?
Добралась до моего рабочего компьютера какая-то "гадость".
Зашифровала все файлы.
Написал на указанные адреса, пришел ответ ниже на англ. Прибыльный у них бизнес...)
Система запускается, но все рабочие файлы и программы "похерены" ((((
Hello,
The price for the recovery of your files is (2500 $).
the payment should be make in BTC
2500 $ includes the following items:
1) you will receive the decryption tool and its usage guide,
2) we will delete all the data we have downloaded from your system,
3) We will teach you how to secure your system from other ransomware attack,
4) We will teach your system vulnerabilities tn order to fix them.
your decryption key is ready.
If the ransom is not paid, the information will be made public on internet.
FRST64_логи.zip требования+файлы.zip
-
Автор IDler
Друзья, добрый день!
Достаточно давно поймали вирус (судя по дате файлов, февраль 2019), после чего сказать сложно. Файлы так и лежали зашифрованными, решили попытать удачу и попробовать найти решение проблемы.
Переустановки ОС не было. Как объясняет получатель данного вируса, никаких окон блокировок не было, что удивительно. Просто в какой-то момент захотели просмотреть фоточки - однако увы.
Заранее благодарен.
Запрос о помощи оформляю впервые, надеюсь без ошибок.
Addition.txt FRST.txt kaspersky запрос.zip
-
Автор GSerg
Вирус Trojan.Encoder.11539 зашифровал все файлы приписав .mark, просит заявку на адрес
diesel_space@aol.com.
Во вложении лог с больной машины.
-
Автор Александр Ковальчук
Приветствую, господа.
Неделю назад на ПК у подруги произошел инцидент: на почту Outlook пришло письмо с вложением "ВАЖНO".
После скачивания вложения и открытия файла из него все файлы на ПК были зашифрованы с расширением ".crypt".(исключение: файлы Windows)
После того, как это произошло я пришел к ней, изъял жесткий диск и подключив его к своему ноутбуку прогнал все файлы через CureIT, а за тем "KVRT".
CureIT указал на два файла как Trojan.Encoder.11539 - https://vms.drweb.ru/virus/?_is=1&i=15333854
KVRT указал на те же два файла, однако с другой идентификацией вирусной угрозы - Ransom.Win32.Purgen.cy
После проверки, файл с вирусной угрозой был обезврежен и удален.
Теперь, когда виновник беды удален, остались файлы на расшифровку: 150 тыс. файлов или же 120 ГБ на расшифровку, которую содержат рабочую информацию, над которой девушка работала более 3.5 лет очень нужно расшифровать.
Уже четвертый день бьюсь над этим в поисках способа расшифровки. Бэкапов естественно нет, равно как точек восстановления. Прошу помощи!
Что уже было проделано:
1. Идентификация и обезвреживание шифровальщика;
2. Зашифрованный файл и записка от автора шифровальщика была залита и идентифицирована тут: https://id-ransomware.malwarehunterteam.com/identify.php?case=99d5e3ec22fee3542709172249b00a76786314b5;
3. Попытка расшифровать файл rannohdecryptor'ом: неудачно, зашифрованный файл имеет размер больше, нежели оригинал;
4. Попытка подобрать ключ расшифровки, с использованием таких утилит как decrypt_Globe, decrypt_Globe2, decrypt_Globe3, decrypt_crypboss, decrypt_Gomasom, RansomwareFileDecryptor 1.0.1667 MUI: неудачно, либо просто не хочет начинать расшифровывать, либо ключ не подбирает;
5. Попытка восстановить удаленные файлы, с использованием стороннего ПО: неудача, удаленных файлов просто не находит;
Некоторая полезная информация:
1. Файлы зашифрованы в формате ".crypt";
2. В каждом каталоге, где файлы были зашифрованы создается файл с расширением ".html" и названием "how_to_back_files", а так же таким содержимым:
"
<html> <head> <meta charset="windows-1251"> <title>HOW TO DECRYPT YOUR FILES</title> <HTA:APPLICATION ICON="UserAccountControlSettings.exe" /> <script language="JScript"> window.moveTo(50, 50); window.resizeTo(screen.width - 100, screen.height - 100); </script> <style type="text/css"> body { font: 15px Tahoma, sans-serif; margin: 10px; line-height: 25px; background: #EDEDED; } .bold { font-weight: bold; } .mark { background: #D0D0E8; padding: 2px 5px; } .header { font-size: 30px; height: 50px; line-height: 50px; font-weight: bold; border-bottom: 10px solid #D0D0E8; } .info { background: #D0D0E8; border-left: 10px solid #00008B; } .alert { background: #FFE4E4; border-left: 10px solid #FF0000; } .private { border: 1px dashed #000; background: #FFFFEF; } .note { height: auto; padding-bottom: 1px; margin: 15px 0; } .note .title { font-weight: bold; text-indent: 10px; height: 30px; line-height: 30px; padding-top: 10px; } .note .mark { background: #A2A2B5; } .note ul { margin-top: 0; } .note pre { margin-left: 15px; line-height: 13px; font-size: 13px; } </style> </head> <body> <div class="header">All your files have been encrypted!</div> <div class="note private"> <div class="title">Your personal ID</div> <pre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pre><!-- !!! dont changing this !!! --> </div> <div class="bold">All your files have been encrypted due to a security problem with your PC.</div> <div class="bold">If you want to restore them, write us to the e-mail:<font color="FF0000">overrideloop@mail-on.us</font></div> <div class="bold">Additional Mailing Address e-mail:<font color="FF0000">overrideloop@tuta.io</font></div> <div class="note info"> <div class="title">How to obtain Bitcoins</div> <ul> <li>The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. <li><a href="https://localbitcoins.com/buy_bitcoins">https://localbitcoins.com/buy_bitcoins</a></li> <li>Also you can find other places to buy Bitcoins and beginners guide here: <li><a href="http://www.coindesk.com/information/how-can-i-buy-bitcoins/">http://www.coindesk.com/information/how-can-i-buy-bitcoins/</a></li> </ul> </div> <div class="note info"> <div class="title">Free decryption as guarantee</div> <ul> <li>Before paying you can send to us up to 1 files for free decryption. Please note that files must NOT contain valuable information and their total size must be less than 1Mb</li> </ul> </div> <div class="note alert"> <div class="title">Attention!</div> <ul> <li>Do not rename encrypted files.</li> <li>Do not try to decrypt your data using third party software, it may cause permanent data loss.</li> <li>Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. </li> </ul> </div> </body></html> "
3. Почта авторов вымогателя: overrideloop@mail-on.us
Сейчас же мне очень нужна ваша помощь, так как ситуация очень неприятная и очень важно восстановить файлы.
P.S: в случае неудачи в расшифровывании файлов девушка будет уволена с работы...
Спасибо за внимание и ПРОШУ ПОМОЩИ!
Забыл указать, что еще был найден Trojan.MulDrop6.39118. Так же был обнаружен и обезврежен. Однако, как я понимаю, он никакого отношения к шифрованию файлов не имеет.
P.S: отчет не делал, так как на своем ноуте угроз нет и не вижу смысла его делать, так как отчет отобразит информацию о моем ноуте, а не о прежнем зараженном ПК.
P.S.2: есть подозрение на CryptXXX. Однако rannohdecryptor ругается на несовпадение размеров оригинального и зашифрованного файла...
-
Автор x546
Мои знакомые по почте получили вирус шифровальщик ( no more ransom) на сегодня решения нету и так последнее время со всеми моими знакомыми свежий вирус и нет решения. Вопрос почему антивирусные компании не могут ( ИЛИ НЕ ХОТЯТ ) сделать дополнительный запрос на действие продолжить (алгоритмы шифрования известны и понятны если начинается шифрование даже будут зашифрованный подряд несколько файлов каким то стандартным процессом, антивирус должен блокировать процесс с запросом ваши данные шифруются, вы подтверждаете шифрование данных ) мне не сложно ответить на доп. запрос я думаю остальным тоже, если это убережет меня от потери данных. Пусть даже он будет спрашивать про архиваторы и подобные программные продукты я лишний раз буду спокоен, но опять же можно добавить доверенные программы в исключения с проверкой даты и размера изменения запускающих файлов на случай если будут вирусописатели стараться использовать эти исключения . Либо же добавить сразу стандартные программы с похожим алгоритмом но безопасным в исключения, а остальное по запросу пользователя. А то смысла в покупке Ваших продуктов не вижу за последнее время как появились данные вирусы шифровальшики не одна антивирусная компания ни дает ни каких гарантий и в конечном счете нет и решения. Создается впечатление что антивирусные компании заинтересованны в распространении данного вируса.
Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Задай вопрос Евгению Касперскому!"
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти