Перейти к содержанию

Подцеплен шифровальщик. Окончание файлов [email][id1-id2].{randomЕxtension}

Destiny
 Поделиться

Рекомендуемые сообщения

Destiny

Destiny

Опубликовано
Опубликовано

Приветствую!

Утром пробудили компы от спячки и увидели, что на рабочем столе (а потом и везде по всему диску) на каждом компе

оооочень многие файлы, но не все, те же ехе, к примеру, не тронуты - зашифрованы.

Шаблон нового имени файла - Оригинальное_имя_файла[id1-id2].{randomЕxtension}

случайное трехбуквенное расширение - случайно для всех файлов. Конечно - в целом на диске - встречаются повторы,

но главное - что оно не стабильно для всех зашифрованных файлов - как для многих шифровальщиках показано в статьях,

описывающих их поведение. id1 и id2 - разные меж собой на одном компе и разные для разных компов.

CollectionLog-2019.12.12-16.23.zip

 

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Программы удалённого управления обе известны?

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Destiny

Destiny

Опубликовано
  • Автор
Опубликовано (изменено)

Программы удалённого управления обе известны?

 

а о каких прогах идет речь?

в логе какие-то упомянуты? в принципе что-то когда-то ставилось, но сейчас живых ярлыков вроде нет нигде...

 

ПыСы. или вы о Teamviewer and VNC ?

 

искомые логи:

Addition.txtFRST.txt

Изменено пользователем Destiny
Destiny

Destiny

Опубликовано
  • Автор
Опубликовано (изменено)

Да, о них.

об этих да. есть такое. Там даже еще NeoRouter есть в списках. Того же типа ПО. т.е. эт нормально.

 

Но наверное на самом деле надо уточнить - есть ли дешифратор на наши файлы.

Т.к. судя по всему шифровальщик работал по сети на расшаренные папки.

т.е. это не основной комп заражения. На нем как я вижу - под раздачу попали тока файлы общего доступа...

А т.к. главное - это файлы, а не "есть тушка" вируса - то может примеры куда- то выложить?

Чтоб оценить их расшифровываемость?

 

ПыСы. потенциально это на какую-то версию самого Cryakl смахивает или на его форк)))), если таковые уже делают....

в теле файлов есть теги: {ENCRYPTSTART}{ENCRYPTENDED}

Изменено пользователем Destiny
Sandor

Sandor

Опубликовано
Опубликовано

Увы, расшифровки этой версии вымогателя нет.

Destiny

Destiny

Опубликовано
  • Автор
Опубликовано (изменено)

в смысле этой версии? я ж еще сами файлы не выкладывал. откуда про версию понятно стало?

вообще же я видел, что расшифиовка каких-то первых версий точно есть. на сайте касперского

статья ж даже есть. типа ща в инете гуляет продвинутая обнова?

 

и наличие живого файла и зашифрованного не помогает делу расшифровки?

Изменено пользователем Destiny
Sandor

Sandor

Опубликовано
Опубликовано

откуда про версию понятно стало?

Вы не первый с подобным заражением. Это последняя версия Cryakl.

 

наличие живого файла и зашифрованного не помогает делу расшифровки?

К сожалению, нет.

 

Впрочем, при наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Destiny

Destiny

Опубликовано
  • Автор
Опубликовано

логи проверять смотреть еще будет кто? ну для хотя бы уверенности, что большего ничего такого нет?

Я их прикрепил - но скачиваний ноль вроде как. может еще что сделать/проверить надо?

Sandor

Sandor

Опубликовано
Опубликовано

Вы ведь сами сказали, что

это не основной комп заражения

Поэтому смысла в логах нет.

 

Тем не менее я их посмотрел, ничего плохого не видно.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Maximus02
      Шифровальщик. Окончание файлов .tae7AeTe
      Автор Maximus02
      1.zip
       
      Здравствуйте!
       
      Словили шифровальшик. Пока не выяснили источник, где был произведен запуск шифровальщика. Есть зашифрованные файлы с размером и окончанием .tae7AeTe. Также есть оригинальный файл с нулевым окончанием. Зашифровано все на NAS Synology.
      Помогите пожалуйста с расшифровкой, если это возможно.
    • wswolf
      Зашифровали файлы с окончанием название_файла_расширение.lock5
      Автор wswolf
      Добрый день. Прошу помощи вычислить шифровщик или помочь с расшифровкой на платной или бесплатной основе. Были зашифрованы файлы различных форматов на сервере почти все фалы были с окончанием название_файла_расширение.lock5. На рабочем столе был обнаружен файл с контактами и требованиями злоумышленников How_to_back_files.html.
       
      Текст требования (также прикреплю скрин и пример зашифрованного фала в архиве)
       
       
       

      инструкция по переадресации почты.docx.rar
    • drexdey
      Взломали сервер и зашифровали файлы, теперь они все с окончание .innok
      Автор drexdey
      Взломали сервер и зашифровали файлы, теперь они имеют вид .innok, Не знаем, что делать и куда обращаться, надеюсь на вашу помощь. Файлы прилагаю к данному посту
      ззашифрованные.rar Addition.txt FRST.txt
    • Acteon_927
      Kaspersky Password Manager после окончания платной подписки.
      Автор Acteon_927
      Будет ли KPM иметь доступ к старым паролям (более 100 штук) после окончания платной подписки?
    • Денис А
      Все файлы зашифрованы шифровальщиком
      Автор Денис А
      Добрый день.
      Помогите, пожалуйста, расшифровать файлы на ПК.
      Приложил файлы зашифрованные. лог FRST и текстовый файл с требованием выкупа.
       
      Заранее спасибо.
      AeyLALoFF.README.txt зашифрованные файлы.rar Addition.txt
      FRST.txt
×
×
  • Создать...