Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Компания "МЕТА" являемся пользователями  продукта:

Kaspersky Small Office Security Desktop International Edition: 14 Desktops; Kaspersky
Small Office Security 7.0 File Server Protection : 1 FileServer; Kaspersky Password
Manager: 14 Users; Kaspersky Internet Security for Android: 14 Mobile devices

 

На экране Server 2003 (легальная копия) появилось сообщение:

All your files have been encrypted! All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail 3441546223@qq.com Write this ID in the title of your message C4A32041 In case of no answer in 24 hours write us to theese e-mails:3441546223@qq.com You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.

И на всех дисках файлы оказались зашифрованы вирусом шифровальщиком.

Помогите с расшифровкой, пожалуйста.

Лог прилагаю

https://cloud.mail.ru/public/2oFq/rHWu4dC1S

Опубликовано

Перечитайте правила раздела и пришлите необходимый комплект логов.

Логи прикрепите к следующему сообщению на форуме.

Опубликовано

Добрый день. Извиняюсь, на другом ПК у меня не отображалась строка "Перетащите файлы...", поэтому отправил ссылкой на "Облако".

virusinfo_syscheck[1].zip

Опубликовано

Добрый день. Извиняюсь, на другом ПК у меня не отображалась строка "Перетащите файлы...", поэтому отправил ссылкой на "Облако".

 

Но в правилах указан только файл (zip) от Сборщика логов AVZ, я не понимаю, извините меня, о чём идёт речь?

Опубликовано

Ну вот и сравните, что должно получиться, с тем, что присылаете Вы. Вы даже не потрудились запустить автосборщик, а вместо этого собираете только лог AVZ.

 

Заодно и пример шифрованного файла в архиве прикрепите к следующему сообщению. Есть подозрение, что с расшифровкой помочь не сможем.

Опубликовано

Ну, да тупанул чего-то. не то прислал.

CollectionLog-2020.05.12-15.58.zip

 

У меня есть 2 подозрительных файла (после удаления их из памяти ПК исчезли уведомления от вымогателей),  сканер их не распознал на диске, может потому, что я им изменил Расширение файла. Скажите как - пришлю.

Опубликовано

Моё предположение оказалось верным - расшифровки файлов после данного шифровальщика нет ни у одной антивирусной компании. Если нужна дальнейшая зачистка следов мусора, дайте знать.

Опубликовано

У антивирусных компаний нету, а у частных компаний есть, отправлял им эти файлы и присылали расшифрованные, но ценник там конский

Опубликовано

Это посредники, которые в доле со злодеями.

Опубликовано
Цитата
7 часов назад, thyrex сказал:

Моё предположение оказалось верным - расшифровки файлов после данного шифровальщика нет ни у одной антивирусной компании. Если нужна дальнейшая зачистка следов мусора, дайте знать.

Скажите, можно ли из присланных Логов понять Источник, Начало заражения?

 

Опубликовано

Наверняка был  вход по RDP в нерабочее время (можно посмотреть по времени появления зашифрованных файлов) после подбора пароля. 

Опубликовано

Я пока, тоже этой схемы заражения придерживаюсь. Неужели это какая-то новая Зараза, что дешифровать не удалось, или никто и не пытался?

Опубликовано

Это одна из многочисленных версий CrySus, для которых нет расшифровки. Расшифровка самых ранних версий появилась только после слива ключей самими злоумышленниками.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • st0rk
      Автор st0rk
      Добрый день. Сканировал Kaspersky Virus Removal Tool, нашло и удалило 4 штуки __new__.exe в разных местах Trojan-Ransom.Win32.Cryptor.fs
      Зашифровало все файлы как Имя.[stopper@india.com].wallet
      autologger отчет прилагаю, делал с безопасного режима, обычным способом не входит 
      в архиве по 2 файла - зараженный и нет, может поможет понять как их расшифровать...
      Очень надеюсь на Вашу помощь.
      files.zip
      CollectionLog-2016.12.21-18.16.zip
    • Klimat72
      Автор Klimat72
      Процесс шифровки не был завершен , обнаружен файл видимо шифровальщика - во вложении. Антивирус КИС, теневое копирование находились в отключенном состоянии. Автоматически логи собрать затруднительно, так как по rdp. При сканировании КИС-ом обнаружен троян:
      20.12.2016 10.52.34;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\denied.exe;C:\Users\ksusha\AppData\Roaming\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:52:34
      20.12.2016 10.27.55;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:27:55
       
      Прикрепляю архив с трояном, возможно сможете помочь с расщифровкой.
      FRST.txt 
       
      Спасибо.
    • AlexeyZ
      Автор AlexeyZ
      Приветствую,
      прошу помощи в расшифровке  -1A4B014A.{suri_namika@india.com}.xtbl
      лог в прицепе
       
      с Уважением,
       
      CollectionLog-2016.11.07-13.22.zip
    • Страхов Дмитрий
      Автор Страхов Дмитрий
      Просьба помочь с дешифратором.
       
      FRST.txt
      Addition.txt
    • Mike...
      Автор Mike...
      Ребята выручайте, зашифровался сервер с финансовой программой, предлагаемые касперским утилиты не помогают. Прикрепляю результаты сканирования программой FIRST.
      Addition.txt
      FRST.txt
×
×
  • Создать...