Перейти к содержанию

Зашифровались все файлы

k.kuleshevich@gmail.com

Автор k.kuleshevich@gmail.com
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

k.kuleshevich@gmail.com

k.kuleshevich@gmail.com

Опубликовано
Опубликовано

Добрый день.

 

Поймали шифровальщика. 

Зашифрована большая часть файлов на сервере. Пример зашифрованного названия файла:  12.xls.Email=[Rezcrypt@cock.li]ID=[asWU0qXwntBRVlh].KRONOS

 

Нашел файл, который предположительно вирус и принес. Тоже приложил отдельным архивом. В названии файла в разных местах вставил "_".

 

Логи приложил.

CollectionLog-2019.09.29-12.09.zip

Rez_crypt@c_ock.l_iKro_nos.rar

thyrex

thyrex

Опубликовано
Опубликовано

Примеры зашифрованных файлов прикрепите в архиве к следующему сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

Сообщение от вымогателей для связи с ними тоже прикрепите.

 

+ Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

По поводу расшифровки напишите в теме на форуме BC, также нужно отправить там личное сообщение пользователю BloodDolly. В личном сообщении отправьте ему в запароленном архиве сам вирус, примеры шифрованных файлов и их оригиналы до шифрования.

 

Сообщите здесь окончательный результат.

  • Согласен 1
k.kuleshevich@gmail.com

k.kuleshevich@gmail.com

Опубликовано
  • Автор
Опубликовано

По поводу расшифровки напишите в теме на форуме BC, также нужно отправить там личное сообщение пользователю BloodDolly. В личном сообщении отправьте ему в запароленном архиве сам вирус, примеры шифрованных файлов и их оригиналы до шифрования.

 

Сообщите здесь окончательный результат.

 

Спасибо. BlooDolly помог) Файлы для присланные для проверки удалось расшифровать. Сегодня будут расшифровывать оставшиеся данные на диске

thyrex

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • itexno
      зашифровано все
      Автор itexno
      Пароль на архив 654258 в архиве все файлы и ключи + логи
      Dectryption-guide.rar
      в папке 3  ключи и прочее
    • merdOgli
      Шифровальщик
      Автор merdOgli
      Добрый день. у меня он же? 
       
      Dectryption-guide.txt
      Файлы выглядят как 
      GTDDOS209804.lic.[MJ-GC4976520831](Bleowalton@gmail.com).walton
      RSAKEY-MJ-PI4638251970.key  RSAKEY-MJ-PI4638251970.key - .txt
       
      + есть нетронутая VM с инсталлятором он не успел там запуститься. на ней нет антивируса. 
      Как действовать чтоб получить алгоритм шифрования? 
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • MikeOne
      Снова .ant_dec шифровальщик
      Автор MikeOne
      Собственно прочитав множество тем за последнюю неделю данная беда и меня настигла. Зашифровано ant_dec файлами, скорее всего через RDP
      FRST.zip включает в себя: FRST.txt, Shortcut.txt, Addition.txt
      CryptedFiles + Ransomware.zip включает в себя: Dectryption-guide.txt и пару зашифрованных файлов

      ссылка удалена - Пароль: virus 
      Virus_2.zip включает в себя Virus.zip
      Внутри: HOP.KEY, ant gmail.exe, mimikatz.exe и все сопутствующие файлы которые были найдены рядом с вирусом
      ПК до сих пор запущен (Не перезагружался) (Отключен от сети)
      Анализ DrWeb.Cureit скидываю

      FRST.zip CryptedFiles + Ransomware.zip
       
      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте вредоносные и потенциально вредоносные файлы и ссылки на форуме.
    • ИльяSL
      шифрование Trojan.Encoder.29750
      Автор ИльяSL
      Здравствуйте, файлы компьютера были зашифрованы Trojan.Encoder.29750 через подключение rdp
      Есть ли возможность создать скрипт или иное решение для их дешифровки? 
      Keys.7z
    • Vlads
      Атака шифровальщиком организации
      Автор Vlads
      Сегодня утром подверглись атаке шифровальщика. Вирус распространился по всей системе и зашифровал все бэкапы и базы данных. Все файлы имеют расширение "ant_dec" и в каждой из папок находится txt файл с запиской о выкупе. Прикрепил логи анализа системы при помощи Farbar Recovery Scan Tool и два зашифрованных документа согласно инструкции, а также файл с требованиями злоумышленников. Файл шифровальщика не удалось отыскать. Так же положил в архив файл HOP.KEY - ключ который требует злоумышленник для расшифровки данных находящийся из C:\Windows\System32.
      Для дешифровки.zip
×
×
  • Создать...