Перейти к содержанию

Поймал шифровальщик .scarry

trialist
 Share Подписчики 2

Рекомендуемые сообщения

trialist

trialist 0

Опубликовано
Опубликовано

Здравствуйте.

Поймал на сервере шифровальщик, который отключил Антивирус и сделал свое дело. Зашифрованы только документы, базы 1с не тронуты.

 

помогите, пожалуйста, найти дешифратор.

Ссылка на сообщение
Поделиться на другие сайты
trialist

trialist 0

Опубликовано
  • Автор
Опубликовано

второй файл - пример шифрования

CollectionLog-2020.05.13-11.28.zip =M8LBs4ufUVH+PXhxKCKoq2bOd7Wgw=2ffI7PQPj7c6J8Cc60GHICXX6ZJIBh+l=BAYgkZeaCVqCjjEk5=E.scarry

 

выложили инструкцию от красавчика

Инструкция по расшифровке файлов.TXT

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

Очередная версия Scarab, к сожалению, расшифровки нет.

 

"Пофиксите" в HijackThis: 


	O4 - HKCU\..\Run: [MinerGateGui] = C:\Program Files\MinerGate\minergate.exe --auto (file missing)

	O22 - Task: DRPNPS - C:\Windows\system32\SCHTASKS.exe /Delete /TN DRPNPS /F

	O22 - Task: DRPNPS - C:\Windows\system32\mshta.exe "http://update.drp.su/nps/online/bin/tools/run.hta" "17.7.115 Online" "1538573104259" "98b876af-bdb9-48ad-b8bf-fd48c78f5a48"

	[/CODE]

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • i.molvinskih
      Шифровальщик PHILIP_KIRKOROV
      От i.molvinskih
      Здраствуйте, в архиве требования, два зашифрованных файла и лог FRST.
      Шифрование произошло сегодня, журнал событий был очищен.
      требования_и_зашифрованные_файлы.zip
    • denis12345
      Help me! BlackBit!
      От denis12345
      Help me! сегодня взломали и подсадили шифровальщика BlackBit, файлы особо не важны, но срочно нужно восстановление базы 1С, вся работа предприятия парализована. Может кто-то уже сталкивался и расшифровывал, подскажите методы или ? Заранее спасибо!
    • ZzordNN
      Шифровальщик .an8uxv2w
      От ZzordNN
      По открытому порту rdp на один серверов проник вредитель и в ручную распространил его на другие сервера и несколько машин пользователей от имени администратора. Имеется перехваченный закрытый ключ - насколько он правильный и подходит нам, мы не понимаем.
      Прикрепляем архив с двумя зараженными файлами и памятку бандита с сервера, закрытый ключ.txt, фото исполняемых файлов вируса (сами файлы куда-то затерялись из-за паники) и два отчета от FRST.
      Возможно вам поможет pdf отчет от staffcop с логами действий мошенника и данными буфера, но к сожалению не могу прикрепить сюда его, т.к он весит 13мб. Прикрепляю ссылку на облако где лежит отчет - https://drive.google.com/drive/folders/1AoXCRWR76Ffq0bjwJa7ixVevrQ_9MchK?usp=sharing 
      files shifrator.zip
    • Evgen2454
      Шифровальщик Ransom:Win32/Lockbit.RPA!MTB с расширением .bGe6JmZwv
      От Evgen2454
      Добрый день. 07.07.2023 в ночь взломали все сервера и положили всю сеть. Обнаружили когда с утра не работала 1с. Ощущение будто ломали ручками потому что не до всех мест долезли и местами после подключения видны открытые окна которые оставили злоумышленники (было отрыто окно групповых политик где устанавливалось изображение рабочего стола). Файл exe который всё ломает антивирусом видится как Ransom:Win32/Lockbit.RPA!MTB. Сохранялся исполняемый файл в несколько директорий, вот которые заметил:

      C:\Windows\SYSVOL\domain\scripts
      \\domain.local\NETLOGON
      \\domain.local\SYSVOL\domain.local\scripts

      так же через время на принтеры отправили 999 копий текста вымогателей. Архив с вирусом есть. Очень нужна помощь по восстановлению данных.
      Addition.txtFRST.txtзашифрованный файл.rarbGe6JmZwv.README.txt
    • Aleksandr63
      Шифровальщик just
      От Aleksandr63
      Здравствуйте! зашифровало всё
      Новая папка.7z FRST.txt
×
×
  • Создать...