Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Расшифрока данных newsantaclaus@aol.com

amimaru
 Поделиться

Рекомендуемые сообщения

amimaru

amimaru

Опубликовано
  • Автор
Опубликовано

Приветствую. помогите с расшифровкой файлов на сервере.

 

1. Проверку выполнил

2. С помощью актуальной версии сборщика логов файл прикреплен

3. тема содана

4. Ждмес...)

 

Сообщение от модератора Mark D. Pearlstone
Темы объединены.

лог прикрепил. помощь поступит?

CollectionLog-2018.12.09-15.39.zip

regist

regist

Опубликовано
Опубликовано

Здравствуйте!

 

Один из файлов Info.hta заархивируйте и прикрепите к сообщению.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-7A826C46.[newsantaclaus@aol.com].santa', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\tender\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Windows\System32\Info.hta', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-7A826C46.[newsantaclaus@aol.com].santa', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\tender\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Windows\System32\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\tender\AppData\Roaming\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
end.

Пожалуйста, перезагрузите компьютер вручную.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

amimaru

amimaru

Опубликовано
  • Автор
Опубликовано

файл прикладываю...


новый лог во вложении


подскажите, какие мои дальнейшие действия? 


Судя по проверке вируса нет, но данные все еще зашифрованы. Получится восстановить?


кто-нибудь даст ответ. что делать для расшифровки данных?

Info.rar

CollectionLog-2018.12.09-17.51.zip

regist

regist

Опубликовано
Опубликовано

 

 


подскажите, какие мои дальнейшие действия?
набраться и иметь терпение. Мы тут помогаем на добровольной основе и в своё личное свободное время. А в выходные есть и другие дела.

 

Насчёт файлов попробуйте RakhniDecryptor. О результатах отпишитесь.


C:\FILES ENCRYPTED.txt

тоже прикрепите.

amimaru

amimaru

Опубликовано
  • Автор
Опубликовано (изменено)

спасибо)). просто тишина. терпения вагон. просто надо понимать ждать помощи или нет. Еще раз спасибо


Попробовал - не поддерживаемый тип зашифрованного файла

FILES ENCRYPTED.txt

Изменено пользователем amimaru
regist

regist

Опубликовано
Опубликовано

пример зашифрованного файла прикрепите.


 

 


просто тишина.
так мы же не сидим тут круглосоточно, как выше написал помогаем в своё личное свободное время.
MaxSurAn

MaxSurAn

Опубликовано
Опубликовано

Добрый день. У нас аналогичная проблема, но видел ругань антивируса на win32/Filecoder.Crysis.P, по классификации ESET. Может чем-то поможет.

amimaru

amimaru

Опубликовано
  • Автор
Опубликовано (изменено)

Честно говоря не понял как это работает.

выполнил вот такую команду

 

C:\Windows\System32\config\systemprofile\Desktop>esetcrysisdecryptor.exe /d c:\*.id-7A826C46.[newsantaclaus@aol.com].sa

 
В ответ получил вот это:
OS: 6.3.9600 SP0
Product Type: Server
WoW64: True
Machine guid: C1528324-9DEC-4E5D-9A09-5A2B256E1E2C
 
Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dhar
ma, .onion, .wallet
-------------------------------------------------------------------------------
DebugMode Enabled
-------------------------------------------------------------------------------
 
Looking for infected files...
-------------------------------------------------------------------------------
 
-------------------------------------------------------------------------------
0 infected files found.
0 file(s) cleaned.
Cleaning Finished.
The cleaner has successfully finished cleaning your system.                [Ok]
 

Эффекта ноль. Может я что-то делаю не так? Судя по сообщениям не поддерживает формат.

Изменено пользователем amimaru
amimaru

amimaru

Опубликовано
  • Автор
Опубликовано

Ребятушки, подскажите, пожалуйста, имеет смысл ждать, что появится дешифратор? очень хочется понять, что делать дальше: ждать или предпринимать что-то другое - в нашем случае поднимать новый сервак СУБД ,тк бекапы баз есть

regist

regist

Опубликовано
Опубликовано 

C:\FILES ENCRYPTED.txt

прикрепите к сообщению, а также один из зашифрованных файлов.

 

+ При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Насчёт возможности рассшифровки лучше уточните у них. Ответ желательно тут напишите.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...