Перейти к содержанию

[РЕШЕНО] Файлы зашифрованы неизвестным шифровальщиком

TanetchkaV
 Поделиться

Рекомендуемые сообщения

TanetchkaV

TanetchkaV

Опубликовано
Опубликовано

Добрый день!

Прошу Вашей помощи.

Файлы были зашифрованы неизвестным шифровальщиком, расширение .crypted. Инструмент RakhniDecryptor.exe найденный на ransome сказал неподдерживаймый тип зашифрованного файла.

Мошенники запросили сумму около тысячи рублей в криптовалюте dash. Файл с текстом вымогателей прилагаю. Также прилагаю пример зашифрованного файла в архиве пример.zip и лог согласно правилам форума.

Надеюсь на Вашу помощь, спасибо!

CollectionLog-2019.06.15-11.51.zip

ПРОЧТИ МЕНЯ!!!.TXT

пример.zip

thyrex

thyrex

Опубликовано
Опубликовано

Попробуйте поискать пару шифрованный-нешифрованный одного и того же файла и прикрепите в архиве к следующему сообщению.

  • Согласен 1
TanetchkaV

TanetchkaV

Опубликовано
  • Автор
Опубликовано

Вроде вот пара. Оригинал из отправленных в почте, а зашифрованный откуда был отправлен.

И еще пара, ориг сейчас загружен из входящих, а зашифрованный загружен до шифровки.


Вот ещё стопроцентная пара экселевских файлов.

ORIGINAL_Blank_otveta_k_zadaniju_3.2.zip

CRYPTED_Blank_otveta_k_zadaniju_3.2.docx.zip

ORIG_!76с Борченко И.Д. (для дистанта).zip

CRYPT_!76с Борченко И.Д. (для дистанта).docx.zip

Пара XLS_orig_crypt.zip

thyrex

thyrex

Опубликовано
Опубликовано

Пока неясно, что это. Предположение про Nemucod не подтвердится скорее всего.

 

Сами что-то запустили перед шифрованием или к Вам зашли удаленно по RDP?

thyrex

thyrex

Опубликовано
Опубликовано

Ну тогда уточняйте, что именно. И если сохранился вредоносный файл, присылайте в архиве с паролем virus.

TanetchkaV

TanetchkaV

Опубликовано
  • Автор
Опубликовано

Ничего не знают, ничего не запускали.

Перелопатил историю до 28 мая. Ничего особенного, ютуб, поиск рефератов, мтс коннект. По подозрительным ссылкам прошел, всё прогрузил. Ничего.

Всё что есть на компе вы видели в логах. Из подозрительно некий Win Tonic есть в приложениях, но походу дохлый. В Program Files живет какая то папка windows nt, в ней почти ничего нет, и wordpad зачем то. На компе в тот момент жили avast и avg. 


в папке Roaming нашел файл созданный примерно во время заражения 13.06.2019 в обед, дата изменения 5 июня. 

win tonic это из состава pc tonic от от дядюшки Nortona

1ed92dd5-fcc2-4f72-b78d-262dbc5bcd7d.zip

thyrex

thyrex

Опубликовано
Опубликовано

В общем поймали https://id-ransomware.blogspot.com/2019/05/shkolotacrypt-ransomware.html

 

Как пишут зарубежные коллеги, он перезаписывает файлы (как минимум часть, причем большую) мусором и сохраняет их с новым расширением

TanetchkaV

TanetchkaV

Опубликовано
  • Автор
Опубликовано

Спасибо!

Значит деньги отправлять туда не стоит.

TanetchkaV

TanetchkaV

Опубликовано
  • Автор
Опубликовано (изменено)

Думал, стоит тут об этом писать или нет, с точки зрения поощрения мошеннических действий конечно не не стоит, но когда вопрос стоит о сохранении материалов накопленных на ноуте за несколько лет, то конечно лучше другим пользователям, попавшим в такое положение, знать об этом.

Деньги небольшие и от безнадёги были отправлены вымогателю. И как бы это смешно не звучало, но мошенник оказался честный :) Прислал дешифратор. Никакого мусора как писалось выше в файлах нет, всё расшифровалось.  :cool2: Вот воистину, хочешь сделать человеку хорошо - сделай сначала плохо, а потом верни как было  :)

Ответ пришел отсюда: Cryptor t310ea89b4347@protonmail.com с таким текстом:

Скачайте дешифратор отсюда: https://dropmefiles.com/JJvFm(его нельзя прикрепить к сообщению, поскольку там exe файл), распакуйте все файлы из архива в одну папку, после чего запустите дешифратор

 

 

Скаченный архив прилагаю. Прошу Вас проверить не оставляет ли он после расшифровки каких нибудь подводных камней. Спасибо!

Сегодня же установлю себе антивирус Касперского, до шифровки стояли и AVG и Avast, оба прохлопали ушами этого шифровальщика.

Дешифратор.zip

Изменено пользователем TanetchkaV
Игорь Малыхин

Игорь Малыхин

Опубликовано
Опубликовано

у меня таже проблема как мне воспользоваться дешифратором

thyrex

thyrex

Опубликовано
Опубликовано

@Игорь Малыхин,

1. Не стоит вторгаться в чужую тему. Создавайте свою и выполняйте правила раздела.

2. Ключ уникальный для каждого пострадавшего.

thyrex

thyrex

Опубликовано
Опубликовано

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Алексанчес Гончаров
      [РЕШЕНО] подцепил Crypted
      Автор Алексанчес Гончаров
      Добрый день. 
      По моей ошибке был подхвачен на ПК вирус шифровальщик. Среди существующих в свободном доступе дешифровальщиков моего не находится.
      Прошу вашей помощи в данной проблеме.
      Текст вымогателей, анализ ОС, оригинал и зараженный файлы прилагаю.
      CollectionLog-2019.09.10-09.22.zip
      ПРОЧТИ МЕНЯ!!!.txt
      оригинал и вирусный.rar
    • matakhari
      Вирус-шифровальщик
      Автор matakhari
      Здравствуйте! Произошла следующая проблема. Мною 2 дня назад на одном из сайтов для студенческих работ был подцеплен вирус Задачник.exe. Сегодня все файлы на компьютере, за исключением рабочего стола, были зашифрованы с расширением .crypted. 
      CollectionLog-2019.09.09-21.47.zip
    • mooduck
      Шифровальщик .crypted
      Автор mooduck
      Здравствуйте. 
      Зашифровались все мультимедийные файлы шифровальщиком вот из этого сообщения:
      https://forum.kasperskyclub.ru/index.php?showtopic=63048&p=934549
      ОС была переустановлена начисто с форматированием разделов, + отдельной резервной копией были сохранены только сами зашифрованные файлы.
      В ссылке, на сообщение выше что я привел, человек прикрепил вложение на дешифровщик приобретенный у вымогателей.
      Помогите пожалуйста скачать с форума этот архив! Форум сообщает, что нет прав для скачивания файлов.
      Очень прошу, выручите, последний шанс спасти информацию!
       
       
    • All2019
      [РЕШЕНО] Шифровальщик *.crypted
      Автор All2019
      Добрый день!
      Прошу Вашей помощи.
      Файлы были зашифрованы шифровальщиком, расширение .crypted. Инструменты RakhniDecryptor.exe, decrypt_Nemucod, decrypt_NemucodAES, RansomwareFileDecryptor 1.0.1668 MUI  не помогли.
      Мошенники запросили сумму 1500 рублей в криптовалюте dash.
      Файл с текстом вымогателей прилагаю.
      Также прилагаю пример зашифрованного файла  и оригинала  и лог согласно правилам форума.
      Надеюсь на Вашу помощь, спасибо!
      Прикрепленные файлы  
      Файлы.zip
    • Alex190989
      [РЕШЕНО] Файлы зашифрованы *.crypted
      Автор Alex190989
      Сделал все как Вы просили. Помогите пожалуйста
       

      Сообщение от модератора thyrex Перенесено из темы https://forum.kasperskyclub.ru/index.php?showtopic=63312 FRST.txt
      Addition.txt
      Shortcut.txt
×
×
  • Создать...