Перейти к содержанию
Викторина ко дню рождения Евгения Валентиновича Касперского
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Шифровальщик bomber

MrMeow
 Share Подписчики 0

Рекомендуемые сообщения

MrMeow

MrMeow 0

Опубликовано
Опубликовано (изменено)
На Windows XP SP3 открыли письмо, предположительно с которого и началось заражение:
=============
"Южанникова Альбина" <frontera5@rambler.ru>:
 
Добрый день
 
Никак не могу с вами связаться( Направляю наши новые реквизиты

=============

с вложением "Реквизиты Обновление.src.gz"

(к этой теме прикреплён запароленный архив virus-src.gz-.7z с этим вложением)

 

Касперский идентифицирует это вложение, как Trojan.Win32.Poweliks.aesg

DrWeb - Trojan.Encoder.26361

 

Затем документы на компьютере переименовывались, как например 6S39+hjSlfkBUHBqHHc с раширением bomber а содержимое файлов становилось зашифрованным или искажённым.

 

После этого система была перепроверена утилитами DrWeb, FreeKaspersky, KVRT

В запароленном архиве virus-ti1.exe-.7z найденный FreeKaspersky, как  UDS:DangerousObject.Multi.Generic

 

В архиве KVRT_reports.zip три лога проверки утилитой KVRT

В архиве "Рабочий стол-encrypted.zip" зашифрованные документы с рабочего стола, включая два скрытых файла (предположительно это desktop.ini и thumbs.db)

 

Так же к теме прикреплён файл от шифровальщика "HOW TO RECOVER ENCRYPTED FILES.txt" с инструкцией по расшифровке файлов за криптовалюту

и лог от утилиты AutoLogger.

 

Пароль от двух запороленных архивов "virus"

 

Сообщение от модератора thyrex

Вредоносное вложение удалено

CollectionLog-2018.09.21-23.36.zip

KVRT_reports.zip

HOW TO RECOVER ENCRYPTED FILES.TXT

Рабочий стол-encrypted.zip

Изменено пользователем thyrex
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 411

Опубликовано
Опубликовано

С расшифровкой помочь не сможем. Будет только зачистка мусора.

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты
MrMeow

MrMeow 0

Опубликовано
  • Автор
Опубликовано

С расшифровкой помочь не сможем. Будет только зачистка мусора.

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

 

frst-logs.zip

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 411

Опубликовано
Опубликовано
2018-09-19 17:07 - 2018-09-19 17:29 - 000002145 _____ C:\Documents and Settings\Депутат1\Рабочий стол\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 17:29 - 000002145 _____ C:\Documents and Settings\Депутат1\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 16:58 - 000002145 _____ C:\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 16:58 - 000002145 _____ C:\Documents and Settings\Депутат1\Мои документы\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 16:58 - 000002145 _____ C:\Documents and Settings\Депутат1\Главное меню\Программы\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 16:58 - 000002145 _____ C:\Documents and Settings\Депутат1\Главное меню\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 16:58 - 000002145 _____ C:\Documents and Settings\Администратор\Главное меню\Программы\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 16:58 - 000002145 _____ C:\Documents and Settings\HOW TO RECOVER ENCRYPTED FILES.TXT

 

удалите вручную. Больше помочь нечем

Ссылка на сообщение
Поделиться на другие сайты
MrMeow

MrMeow 0

Опубликовано
  • Автор
Опубликовано

 

2018-09-19 17:07 - 2018-09-19 17:29 - 000002145 _____ C:\Documents and Settings\Депутат1\Рабочий стол\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 17:29 - 000002145 _____ C:\Documents and Settings\Депутат1\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 16:58 - 000002145 _____ C:\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 16:58 - 000002145 _____ C:\Documents and Settings\Депутат1\Мои документы\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 16:58 - 000002145 _____ C:\Documents and Settings\Депутат1\Главное меню\Программы\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 16:58 - 000002145 _____ C:\Documents and Settings\Депутат1\Главное меню\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 16:58 - 000002145 _____ C:\Documents and Settings\Администратор\Главное меню\Программы\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 16:58 - 000002145 _____ C:\Documents and Settings\HOW TO RECOVER ENCRYPTED FILES.TXT

 

удалите вручную. Больше помочь нечем

 

 

Спасибо.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • Tadmin
      [РАСШИФРОВАНО] Помощь с восстановлением файлов после шифровальщика hopeandhonest@smime.ninja
      От Tadmin
      Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов.
      hopeandhonest@smime.ninja.zip
    • DimonD
      [РАСШИФРОВАНО] Поймали шифровальщик
      От DimonD
      Добрый день. Помогите пожалуйста с расшифровкой файлов? так же на сервак ктото споймал эту гадость. 
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • iLuminate
      Подозрение на взлом сервера
      От iLuminate
      Есть подозрение на взлом, так как при переходе C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Администрирование - Ярлык появляется ярлык которые указан на скриншоте.

      FRST.txt Addition.txt
    • JhonD
      шифровальщик Jami_decryptionguy
      От JhonD
      Добрый день, посмотрите, есть ли надежда на восстановление файлов. 
      Addition.txt CONTACT_US.txt FRST.txt АКТ на списание ГСМ.DOCX
    • upvpst
      DCHELP.org
      От upvpst
      Добрый день! В сеть проник зловред подробно описанный по ссылке https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html.
      Возможности зайти на сервер нет, так как файловые системы отображаются как нечитаемые. Пробуем вытащить файлы через R-Studio, Disk Drill и иные утилиты восстановления данных. Сталкивался ли кто-то еще с этими гадами? Есть ли выход?

×
×
  • Создать...