Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Зашифровано [graff_de_malfet@protonmail.ch]

GarryGorbunov
 Поделиться

Рекомендуемые сообщения

SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

По правилам имелось ввиду лог автологера вида - CollectionLog-yyyy.mm.dd-hh.mm.zip

 

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код::
     
      
    Start::
CreateRestorePoint:
CloseProcesses:
File: C:\Windows\System32\Microsoft Agent Service\MicrosoftAgentService.exe
File: C:\Windows\System32\Windows Host Service\WindowsHostService.exe
Zip: C:\Windows\System32\Microsoft Agent Service\MicrosoftAgentService.exe;C:\Windows\System32\Windows Host Service\WindowsHostService.exe
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).

  • Запустите FRST/FRST64 (от имени администратора).

  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .

  • Обратите внимание, что компьютер будет перезагружен.

 

На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

 

Ссылка на комментарий
Поделиться на другие сайты
SQ

SQ

Опубликовано
Опубликовано
1 час назад, GarryGorbunov сказал:

Загрузил карантин, как просили через форму.

Спасибо, отправил в Вирлаб на анализ. Согласно virustotal файлы в карантине не представляют угрозы, однако хотелось бы в этом убедится.

P.S. Обычно результат будет известен в течение 2 часов, но бывают исключения.

Могли бы пожалуйста предоставить логи по правилам, т.е. лог автологгера + 2-3 зашифрованных файла в архиве zip.

 

Ссылка на комментарий
Поделиться на другие сайты
GarryGorbunov

GarryGorbunov

Опубликовано
  • Автор
Опубликовано (изменено)
38 минут назад, SQ сказал:

Спасибо, отправил в Вирлаб на анализ. Согласно virustotal файлы в карантине не представляют угрозы, однако хотелось бы в этом убедится.

P.S. Обычно результат будет известен в течение 2 часов, но бывают исключения.

Могли бы пожалуйста предоставить логи по правилам, т.е. лог автологгера + 2-3 зашифрованных файла в архиве zip.

 

Зашифрованные файлы в архиве и лог прикрепляю. На счет лога не уверен, если не то, скажите, как надо сделаю.

Fixlog.txt 

 

Зашифрованные файлы.zip

Изменено пользователем GarryGorbunov
Ссылка на комментарий
Поделиться на другие сайты
SQ

SQ

Опубликовано
Опубликовано

Этот лог fixlog.txt был от предыдущего применения утилиты FRST.

 

Необходимо проверить еще следующие файлы, пожалуйста выполните следующие инструкции.

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код:
      
    Start::
CreateRestorePoint:
CloseProcesses:
File: C:\Windows\system32\assm.dat
File: C:\Windows\system32\sys.dll
Zip: C:\Windows\system32\assm.dat;C:\Windows\system32\sys.dll
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).

  • Запустите FRST/FRST64 (от имени администратора).

  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .

  • Обратите внимание, что компьютер будет перезагружен.

 

На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

Ссылка на комментарий
Поделиться на другие сайты
GarryGorbunov

GarryGorbunov

Опубликовано
  • Автор
Опубликовано

 

19 минут назад, SQ сказал:

Необходимо проверить еще следующие файлы, пожалуйста выполните следующие инструкции.

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код:
      
    
Start::
CreateRestorePoint:
CloseProcesses:
File: C:\Windows\system32\assm.dat
File: C:\Windows\system32\sys.dll
Zip: C:\Windows\system32\assm.dat;C:\Windows\system32\sys.dll
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).

  • Запустите FRST/FRST64 (от имени администратора).

  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .

  • Обратите внимание, что компьютер будет перезагружен.

 

На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

Карантин загрузил, fixlog во вложении

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
SQ

SQ

Опубликовано
Опубликовано

C:\Windows\system32\sys.dll -  Not-a-virus:HEUR:RiskTool.Win32.BitMiner. (Kaspersky)
Пожалуйста самостоятельно пока ничего не удаляйте. Отправил карантин в ВирЛаб для подверждения, ожидайте результат.

 

Приложите пожалуйста таке файл злоумышлинников how_to_decrypt.hta

Ссылка на комментарий
Поделиться на другие сайты
GarryGorbunov

GarryGorbunov

Опубликовано
  • Автор
Опубликовано
25 минут назад, SQ сказал:

Ожидайте пожалуйста, я отправил запрос, как что-то будет известно касаемо возможности расшифровки, я Вам сообщу.

Спасибо,буду ждать.

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Джо
      Помощь в расшифровке graff_de_malfet@protonmail.ch
      Автор Джо
      Добрый день, наткнулся на новость Доступна расшифровка файлов после CryLock 2.0.0.0, 1.9.2.1 и 1.8.0.0 | VirusNet
      Может быть действительно появился шанс восстановить свои файлы после того как был атакован через RDP, зашифровались где-то в 2020г

      Система была перестановлена, неоднократно и железо тоже заменено(но доступ к нему еще есть если это важно)

      Если действительно расшифорвка поможет, буду очень благодарен. Думаю не я один такой "счастливчик" и вы спасете ценную информацию многих людей.
      Шифровальщик судя по всему CryLock 1.9 выкупт от почты graff_de_malfet@protonmail.ch (decrypt files? write to this mail: graff_de_malfet@protonmail.ch)
       
      crypted.7z
       
      как вариант у меня есть оригинальный файл и зашифрованный, если это может хоть както  помочь..
    • Media-Box
      KOZANOSTRA зашифровано
      Автор Media-Box
      Помогите пожалуйста😪 У меня также шифровальщик проник на два компьютера. Практически 11Тб фильмов и сериалов были испорчены. Это потеря потерь
      Файлы.zip
       
      Сообщение от модератора kmscom Сообщение перенесено из темы KOZANOSTRA зашифровано 2 ПК
    • quietstorm
      Зашифровано ant_dec
      Автор quietstorm
      Добрый день, зашифровало сервер на synology.
      Что самое странное полностью удалило сервер куда делалось резервное копирование hyper backup, просто при входе предлагает установить заново систему.
      Файлы с запиской в архиве во вложение пароль 123
      шифровальщик.rar
       
      Сообщение от модератора kmscom Сообщение перенесено из темы Зашифровано ant_dec
    • SatanicPanzer
      Файлы зашифрованы с расширением Encrypted
      Автор SatanicPanzer
      Скорее всего проник через почту на сервер небольшой фирмы, файлы и логи прикрепляю
      FRST.txt 1.zip
    • niktnt
      Зашифрованы BitLocker не системные диски
      Автор niktnt
      Добрый день.
      Шифровальщик загрузился на сервер из ремоут десктоп менеджера и на всем куда смог попасть зашифровал все диски кроме с:\.
      На предположительном компьютере-источнике зашифрован и диск C:\
      Файлы о выкупе продолжают создаваться при старте системы.
      Addition.txt FRST.txt virus_bitlocker.zip
×
×
  • Создать...