Перейти к содержанию

Зашифровано [graff_de_malfet@protonmail.ch]

GarryGorbunov
 Поделиться

Рекомендуемые сообщения

SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

По правилам имелось ввиду лог автологера вида - CollectionLog-yyyy.mm.dd-hh.mm.zip

 

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код::
     
      
    Start::
CreateRestorePoint:
CloseProcesses:
File: C:\Windows\System32\Microsoft Agent Service\MicrosoftAgentService.exe
File: C:\Windows\System32\Windows Host Service\WindowsHostService.exe
Zip: C:\Windows\System32\Microsoft Agent Service\MicrosoftAgentService.exe;C:\Windows\System32\Windows Host Service\WindowsHostService.exe
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).

  • Запустите FRST/FRST64 (от имени администратора).

  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .

  • Обратите внимание, что компьютер будет перезагружен.

 

На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

 

GarryGorbunov

GarryGorbunov

Опубликовано
  • Автор
Опубликовано (изменено)

 Сделал, как указано выше.

Изменено пользователем mike 1
Карантин в теме
mike 1

mike 1

Опубликовано
Опубликовано

Карантин загрузите как Вас просили. 

  • Спасибо (+1) 1
GarryGorbunov

GarryGorbunov

Опубликовано
  • Автор
Опубликовано

Загрузил карантин, как просили через форму.

SQ

SQ

Опубликовано
Опубликовано
1 час назад, GarryGorbunov сказал:

Загрузил карантин, как просили через форму.

Спасибо, отправил в Вирлаб на анализ. Согласно virustotal файлы в карантине не представляют угрозы, однако хотелось бы в этом убедится.

P.S. Обычно результат будет известен в течение 2 часов, но бывают исключения.

Могли бы пожалуйста предоставить логи по правилам, т.е. лог автологгера + 2-3 зашифрованных файла в архиве zip.

 

GarryGorbunov

GarryGorbunov

Опубликовано
  • Автор
Опубликовано (изменено)
38 минут назад, SQ сказал:

Спасибо, отправил в Вирлаб на анализ. Согласно virustotal файлы в карантине не представляют угрозы, однако хотелось бы в этом убедится.

P.S. Обычно результат будет известен в течение 2 часов, но бывают исключения.

Могли бы пожалуйста предоставить логи по правилам, т.е. лог автологгера + 2-3 зашифрованных файла в архиве zip.

 

Зашифрованные файлы в архиве и лог прикрепляю. На счет лога не уверен, если не то, скажите, как надо сделаю.

Fixlog.txt 

 

Зашифрованные файлы.zip

Изменено пользователем GarryGorbunov
SQ

SQ

Опубликовано
Опубликовано

Этот лог fixlog.txt был от предыдущего применения утилиты FRST.

 

Необходимо проверить еще следующие файлы, пожалуйста выполните следующие инструкции.

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код:
      
    Start::
CreateRestorePoint:
CloseProcesses:
File: C:\Windows\system32\assm.dat
File: C:\Windows\system32\sys.dll
Zip: C:\Windows\system32\assm.dat;C:\Windows\system32\sys.dll
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).

  • Запустите FRST/FRST64 (от имени администратора).

  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .

  • Обратите внимание, что компьютер будет перезагружен.

 

На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

GarryGorbunov

GarryGorbunov

Опубликовано
  • Автор
Опубликовано

 

19 минут назад, SQ сказал:

Необходимо проверить еще следующие файлы, пожалуйста выполните следующие инструкции.

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код:
      
    
Start::
CreateRestorePoint:
CloseProcesses:
File: C:\Windows\system32\assm.dat
File: C:\Windows\system32\sys.dll
Zip: C:\Windows\system32\assm.dat;C:\Windows\system32\sys.dll
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).

  • Запустите FRST/FRST64 (от имени администратора).

  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .

  • Обратите внимание, что компьютер будет перезагружен.

 

На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

Карантин загрузил, fixlog во вложении

Fixlog.txt

SQ

SQ

Опубликовано
Опубликовано

C:\Windows\system32\sys.dll -  Not-a-virus:HEUR:RiskTool.Win32.BitMiner. (Kaspersky)
Пожалуйста самостоятельно пока ничего не удаляйте. Отправил карантин в ВирЛаб для подверждения, ожидайте результат.

 

Приложите пожалуйста таке файл злоумышлинников how_to_decrypt.hta

GarryGorbunov

GarryGorbunov

Опубликовано
  • Автор
Опубликовано
13 минут назад, SQ сказал:

Приложите пожалуйста таке файл злоумышлинников how_to_decrypt.hta

 

how_to_decrypt.zip

SQ

SQ

Опубликовано
Опубликовано

Ожидайте пожалуйста, я отправил запрос, как что-то будет известно касаемо возможности расшифровки, я Вам сообщу.

GarryGorbunov

GarryGorbunov

Опубликовано
  • Автор
Опубликовано
25 минут назад, SQ сказал:

Ожидайте пожалуйста, я отправил запрос, как что-то будет известно касаемо возможности расшифровки, я Вам сообщу.

Спасибо,буду ждать.

 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Джо
      Помощь в расшифровке graff_de_malfet@protonmail.ch
      Автор Джо
      Добрый день, наткнулся на новость Доступна расшифровка файлов после CryLock 2.0.0.0, 1.9.2.1 и 1.8.0.0 | VirusNet
      Может быть действительно появился шанс восстановить свои файлы после того как был атакован через RDP, зашифровались где-то в 2020г

      Система была перестановлена, неоднократно и железо тоже заменено(но доступ к нему еще есть если это важно)

      Если действительно расшифорвка поможет, буду очень благодарен. Думаю не я один такой "счастливчик" и вы спасете ценную информацию многих людей.
      Шифровальщик судя по всему CryLock 1.9 выкупт от почты graff_de_malfet@protonmail.ch (decrypt files? write to this mail: graff_de_malfet@protonmail.ch)
       
      crypted.7z
       
      как вариант у меня есть оригинальный файл и зашифрованный, если это может хоть както  помочь..
    • Media-Box
      KOZANOSTRA зашифровано
      Автор Media-Box
      Помогите пожалуйста😪 У меня также шифровальщик проник на два компьютера. Практически 11Тб фильмов и сериалов были испорчены. Это потеря потерь
      Файлы.zip
       
      Сообщение от модератора kmscom Сообщение перенесено из темы KOZANOSTRA зашифровано 2 ПК
    • quietstorm
      Зашифровано ant_dec
      Автор quietstorm
      Добрый день, зашифровало сервер на synology.
      Что самое странное полностью удалило сервер куда делалось резервное копирование hyper backup, просто при входе предлагает установить заново систему.
      Файлы с запиской в архиве во вложение пароль 123
      шифровальщик.rar
       
      Сообщение от модератора kmscom Сообщение перенесено из темы Зашифровано ant_dec
    • Andrey_ka
      зашифрованные файлы
      Автор Andrey_ka
      Добрый день! Может , кто подскажет... попался диск с архивами одного предприятия , диск стоял на NAS Iomega, со временем hdd был поврежден , но данные с него я смог вытащить , файловая структура целая , но как выяснилось ни один из файлов нормально не открывается, уточни у бывших работников и выяснил , что еще до того как он умер у них начались подобные проблемы и большую часть информации они успели переписать ( все указывает на работу вируса шифровальщика) , взяв несколько файлов попытался онлайн прогнать разными анализаторами вирусов , результат один вирусов не обнаружено ... теперь о самих файлах - неважно это файлы doc, docx, pdf и т.д. тенденция прослеживается такая, начало файла смещение 0x2E0 защифрованно, в конец файла добавлено 1126 байт , код начинается D9 9D 68 и полностью одинаковы во всех файлах кроме последних 0x84 байта. Ни то, что бы информация очень востребована , любопытно, что это за вирус и тд... если кому интересно , образцы файлов выложу и дамп концовки ....    
          вставить выделенную цитату в окно ответа
            xТитульный.docx Титульный.docx titdump.txt
    • Mep3aBEz
      Зашифровались файлы
      Автор Mep3aBEz
      Добрый день!
      6 мая 2025 года зашифровались файлы.
      Как проник вирус неизвестно.
       
      Произошло:
      Ночью на виртуалку на Win10x64 с включенным RDP в папку c:\users\admin\music попал файл AD.exe
      На самой виртуалке ничего не зашифровалось, но два рабочих компьютера на Win11, которые были включены в тот момент зашифровались.
      Также не зашифровался ни один (из 5) рабочий сервер на виртуалках с WS2022.
      С зашифрованных компов была удалена система, поэтому лог анализа системы прикрепить не могу, файл шифровальщика тоже не сохранили.
       
       
       
      encrypt_files.zip
×
×
  • Создать...