Перейти к содержанию

Расшифрока данных newsantaclaus@aol.com


Рекомендуемые сообщения

Приветствую. помогите с расшифровкой файлов на сервере.

 

1. Проверку выполнил

2. С помощью актуальной версии сборщика логов файл прикреплен

3. тема содана

4. Ждмес...)

 

Сообщение от модератора Mark D. Pearlstone
Темы объединены.

лог прикрепил. помощь поступит?

CollectionLog-2018.12.09-15.39.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Один из файлов Info.hta заархивируйте и прикрепите к сообщению.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-7A826C46.[newsantaclaus@aol.com].santa', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\tender\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Windows\System32\Info.hta', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-7A826C46.[newsantaclaus@aol.com].santa', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\tender\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Windows\System32\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\tender\AppData\Roaming\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
end.

Пожалуйста, перезагрузите компьютер вручную.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Ссылка на комментарий
Поделиться на другие сайты

файл прикладываю...


новый лог во вложении


подскажите, какие мои дальнейшие действия? 


Судя по проверке вируса нет, но данные все еще зашифрованы. Получится восстановить?


кто-нибудь даст ответ. что делать для расшифровки данных?

Info.rar

CollectionLog-2018.12.09-17.51.zip

Ссылка на комментарий
Поделиться на другие сайты

 

 


подскажите, какие мои дальнейшие действия?
набраться и иметь терпение. Мы тут помогаем на добровольной основе и в своё личное свободное время. А в выходные есть и другие дела.

 

Насчёт файлов попробуйте RakhniDecryptor. О результатах отпишитесь.


C:\FILES ENCRYPTED.txt

тоже прикрепите.

Ссылка на комментарий
Поделиться на другие сайты

спасибо)). просто тишина. терпения вагон. просто надо понимать ждать помощи или нет. Еще раз спасибо


Попробовал - не поддерживаемый тип зашифрованного файла

FILES ENCRYPTED.txt

Изменено пользователем amimaru
Ссылка на комментарий
Поделиться на другие сайты

пример зашифрованного файла прикрепите.


 

 


просто тишина.
так мы же не сидим тут круглосоточно, как выше написал помогаем в своё личное свободное время.
Ссылка на комментарий
Поделиться на другие сайты

Честно говоря не понял как это работает.

выполнил вот такую команду

 

C:\Windows\System32\config\systemprofile\Desktop>esetcrysisdecryptor.exe /d c:\*.id-7A826C46.[newsantaclaus@aol.com].sa

 
В ответ получил вот это:
OS: 6.3.9600 SP0
Product Type: Server
WoW64: True
Machine guid: C1528324-9DEC-4E5D-9A09-5A2B256E1E2C
 
Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dhar
ma, .onion, .wallet
-------------------------------------------------------------------------------
DebugMode Enabled
-------------------------------------------------------------------------------
 
Looking for infected files...
-------------------------------------------------------------------------------
 
-------------------------------------------------------------------------------
0 infected files found.
0 file(s) cleaned.
Cleaning Finished.
The cleaner has successfully finished cleaning your system.                [Ok]
 

Эффекта ноль. Может я что-то делаю не так? Судя по сообщениям не поддерживает формат.

Изменено пользователем amimaru
Ссылка на комментарий
Поделиться на другие сайты

Ребятушки, подскажите, пожалуйста, имеет смысл ждать, что появится дешифратор? очень хочется понять, что делать дальше: ждать или предпринимать что-то другое - в нашем случае поднимать новый сервак СУБД ,тк бекапы баз есть

Ссылка на комментарий
Поделиться на другие сайты

C:\FILES ENCRYPTED.txt

прикрепите к сообщению, а также один из зашифрованных файлов.

 

+ При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Насчёт возможности рассшифровки лучше уточните у них. Ответ желательно тут напишите.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Дмитрий С1990
      От Дмитрий С1990
      Был зашифрован ПК по средствам подключения по rdp  к учетной записи администратора и подобранному паролю.
      Addition.txt virus.7z FRST.txt
    • Serg1619
      От Serg1619
      С утра на сервере все значки стали тектостовыми файлами с расширением abdula.a@aol.com,при открытии фаилой везде открывается блокном с требованием написать им на почту для того чтоб разблокировать.
      Как то можно расшифровать все файлы?или все уже безнадежно?
    • animewko25
      От animewko25
      Добрый день!
      Подскажите каким способом можно перенести базу данных SQL KSC на другой диск.
      Финт с заменой буквы не проходит,может быть есть какой нибудь мануал
    • KL FC Bot
      От KL FC Bot
      Как передать информацию с компьютера, который не подключен ни к Интернету, ни к локальной сети организации? Израильский исследователь Мордехай Гури в течение многих лет занимается поиском нетривиальных методов, с помощью которых атакующие могли бы похищать данные в таких условиях. Мы уже не раз писали о его исследованиях. Недавно с разницей в четыре дня Гури опубликовал сразу две новые научные работы. В одной из них он продемонстрировал, как превратить компьютер в радиопередатчик, манипулируя загрузкой данных в оперативную память, а во второй — как использовать в качестве «акустического шпиона» обычный компьютерный монитор.
      Гипотетическая ситуация
      Во всех своих работах Мордехай Гури решает одну и ту же задачу. Условия такие:
      на некоем компьютере хранятся или обрабатываются максимально секретные данные; для обеспечения безопасности этих данных система изолирована от сети и для верности размещена в отдельном помещении с ограниченным доступом; гипотетический злоумышленник знает, как установить на компьютер вредоносное программное обеспечение, которое может добыть эти данные, и теперь он должен каким-то образом скачать их. Задача заражения изолированного компьютера сама по себе сложна, но вовсе не невыполнима. Заразить компьютер можно, воспользовавшись разгильдяйством оператора «секретного» компьютера, подключающего к ПК зараженную флешку со своими файлами (а это вполне реальный сценарий). Теоретически злоумышленники могут установить зловред в систему заранее: на заводе производителя или во время доставки компьютера заказчику. Или (самый простой случай) сотрудника организации могут подкупить. А вот для эксфильтрации данных злодей использует атаку по сторонним каналам.
       
      View the full article
    • AYu
      От AYu
      Взломали сервер, зашифровали данные, требуют выкуп. Может ктосталкивался с ним? Ведем переговоры с *****
      yFhK8sxrC0.rar
×
×
  • Создать...