Перейти к содержанию

Уже зарегистрированы? Войти

Помощь в борьбе с шифровальщиками-вымогателями

crylock 1.9.2.1 Зашифровано [graff_de_malfet@protonmail.ch]

cryakl

GarryGorbunov

Автор GarryGorbunov
8 июня, 2020 в Помощь в борьбе с шифровальщиками-вымогателями

Поделиться

https://forum.kasperskyclub.ru/topic/65552-zashifrovano-graff_de_malfetprotonmailch/

Подписчики 1

Рекомендуемые сообщения

SQ

Опубликовано 11 июня, 2020

Опубликовано 11 июня, 2020

пришел ответ от ВирЛаба:

sys.dll -  Not-a-virus:HEUR:RiskTool.Win32.BitMiner
assm.dat - HEUR:Trojan-Downloader.MSIL.Miner.gen
Windows Update Service.exe - not-a-virus:RiskTool.Win32.BitMiner.gen
MicrosoftAgentService.exe - HEUR:Trojan.MSIL.Starter.gen

Закройте и сохраните все открытые приложения.

Выделите следующий код::

Start::
CreateRestorePoint:
CloseProcesses:
R2 Microsoft Agent Service; C:\Windows\system32\Microsoft Agent Service\MicrosoftAgentService.exe [11776 2020-04-18] () [File not signed]
R2 Windows Host Service; C:\Windows\system32\Windows Host Service\WindowsHostService.exe [12800 2020-04-18] () [File not signed]
FF Plugin HKU\S-1-5-21-89793648-2917968068-3212671060-1001: @skbkontur.ru/diagplugin -> C:\Users\Бухгалтер\AppData\Local\SkbKontur\DiagPlugin\3.0.23.207\npapikd.dll [No File]
Folder: C:\Users\Бухгалтер\AppData\Local\CrashDumps
2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Мишанин-ПК\how_to_decrypt.hta
2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Мишанин-ПК\Downloads\how_to_decrypt.hta
2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Мишанин-ПК\Documents\how_to_decrypt.hta
2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Мишанин-ПК\Desktop\how_to_decrypt.hta
2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Мишанин-ПК\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Мишанин-ПК\AppData\Roaming\how_to_decrypt.hta
2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Мишанин-ПК\AppData\LocalLow\how_to_decrypt.hta
2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Мишанин-ПК\AppData\Local\how_to_decrypt.hta
2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Мишанин-ПК\AppData\how_to_decrypt.hta
2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Бухгалтер\how_to_decrypt.hta
2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Бухгалтер\Downloads\how_to_decrypt.hta
2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Бухгалтер\Documents\how_to_decrypt.hta
2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Бухгалтер\AppData\Roaming\how_to_decrypt.hta
2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Бухгалтер\AppData\LocalLow\how_to_decrypt.hta
2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Бухгалтер\AppData\how_to_decrypt.hta
2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\how_to_decrypt.hta
2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ C:\Users\Бухгалтер\AppData\Local\how_to_decrypt.hta
2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ C:\Users\WIN-DB9PGBI2K9D\how_to_decrypt.hta
2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ C:\Users\WIN-DB9PGBI2K9D\Downloads\how_to_decrypt.hta
2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ C:\Users\WIN-DB9PGBI2K9D\Documents\how_to_decrypt.hta
2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ C:\Users\WIN-DB9PGBI2K9D\Desktop\how_to_decrypt.hta
2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ C:\Users\WIN-DB9PGBI2K9D\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ C:\Users\WIN-DB9PGBI2K9D\AppData\Roaming\how_to_decrypt.hta
2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ C:\Users\WIN-DB9PGBI2K9D\AppData\LocalLow\how_to_decrypt.hta
2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ C:\Users\WIN-DB9PGBI2K9D\AppData\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Все пользователи\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\WIN-DB9PGBI2K9D\AppData\Local\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Public\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default\Documents\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default\AppData\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default User\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default User\Downloads\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default User\Documents\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default User\Desktop\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default User\AppData\Roaming\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default User\AppData\Local\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default User\AppData\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\ProgramData\how_to_decrypt.hta
2020-06-08 01:12 - 2020-06-08 01:12 - 000007355 _____ C:\Users\how_to_decrypt.hta
() [File not signed] C:\Windows\System32\Windows Host Service\WindowsHostService.exe
() [File not signed] C:\Windows\System32\Microsoft Agent Service\MicrosoftAgentService.exe
2020-05-18 22:36 - 2020-06-08 12:30 - 000034816 _____ () C:\Windows\system32\assm.dat
2020-05-18 22:35 - 2020-05-18 22:35 - 001956046 _____ C:\Windows\system32\sys.dll
Folder: C:\Windows\system32\Windows Host Service
Folder: C:\Windows\System32\Microsoft Agent Service
2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ () C:\Users\Бухгалтер\AppData\Roaming\how_to_decrypt.hta
2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ () C:\Users\Бухгалтер\AppData\Roaming\Microsoft\how_to_decrypt.hta
2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ () C:\Users\Бухгалтер\AppData\Local\how_to_decrypt.hta
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
ContextMenuHandlers1_S-1-5-21-89793648-2917968068-3212671060-1001: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
ContextMenuHandlers4_S-1-5-21-89793648-2917968068-3212671060-1001: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
ContextMenuHandlers5_S-1-5-21-89793648-2917968068-3212671060-1001: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST/FRST64 (от имени администратора).
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
Обратите внимание, что компьютер будет перезагружен.

SQ

Опубликовано 11 июня, 2020

Опубликовано 11 июня, 2020

К сожалению расшифровка нашими силами не возможна.

Смените все пароли. Если у Вас есть лицензия на продукты Лаборатории Касперского попробуйте создать запрос.

GarryGorbunov

GarryGorbunov

Опубликовано 15 июня, 2020

Автор

Опубликовано 15 июня, 2020

Спасибо за помощь, запрос создал.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в

Войти

Поделиться

https://forum.kasperskyclub.ru/topic/65552-zashifrovano-graff_de_malfetprotonmailch/

Подписчики 1

Перейти к списку тем

Похожий контент
- Помощь в расшифровке graff_de_malfet@protonmail.ch
  Автор Джо
  
  Добрый день, наткнулся на новость Доступна расшифровка файлов после CryLock 2.0.0.0, 1.9.2.1 и 1.8.0.0 | VirusNet
  Может быть действительно появился шанс восстановить свои файлы после того как был атакован через RDP, зашифровались где-то в 2020г
  
  Система была перестановлена, неоднократно и железо тоже заменено(но доступ к нему еще есть если это важно)
  
  Если действительно расшифорвка поможет, буду очень благодарен. Думаю не я один такой "счастливчик" и вы спасете ценную информацию многих людей.
  Шифровальщик судя по всему CryLock 1.9 выкупт от почты graff_de_malfet@protonmail.ch (decrypt files? write to this mail: graff_de_malfet@protonmail.ch)
  
  crypted.7z
  
  как вариант у меня есть оригинальный файл и зашифрованный, если это может хоть както помочь..
- KOZANOSTRA зашифровано
  Автор Media-Box
  
  Помогите пожалуйста😪 У меня также шифровальщик проник на два компьютера. Практически 11Тб фильмов и сериалов были испорчены. Это потеря потерь
  Файлы.zip
  
  Сообщение от модератора kmscom Сообщение перенесено из темы KOZANOSTRA зашифровано 2 ПК
- Зашифровано ant_dec
  Автор quietstorm
  
  Добрый день, зашифровало сервер на synology.
  Что самое странное полностью удалило сервер куда делалось резервное копирование hyper backup, просто при входе предлагает установить заново систему.
  Файлы с запиской в архиве во вложение пароль 123
  шифровальщик.rar
  
  Сообщение от модератора kmscom Сообщение перенесено из темы Зашифровано ant_dec
- зашифрованные файлы
  Автор Andrey_ka
  
  Добрый день! Может , кто подскажет... попался диск с архивами одного предприятия , диск стоял на NAS Iomega, со временем hdd был поврежден , но данные с него я смог вытащить , файловая структура целая , но как выяснилось ни один из файлов нормально не открывается, уточни у бывших работников и выяснил , что еще до того как он умер у них начались подобные проблемы и большую часть информации они успели переписать ( все указывает на работу вируса шифровальщика) , взяв несколько файлов попытался онлайн прогнать разными анализаторами вирусов , результат один вирусов не обнаружено ... теперь о самих файлах - неважно это файлы doc, docx, pdf и т.д. тенденция прослеживается такая, начало файла смещение 0x2E0 защифрованно, в конец файла добавлено 1126 байт , код начинается D9 9D 68 и полностью одинаковы во всех файлах кроме последних 0x84 байта. Ни то, что бы информация очень востребована , любопытно, что это за вирус и тд... если кому интересно , образцы файлов выложу и дамп концовки ....
  вставить выделенную цитату в окно ответа
  xТитульный.docx Титульный.docx titdump.txt
- Зашифровались файлы
  Автор Mep3aBEz
  
  Добрый день!
  6 мая 2025 года зашифровались файлы.
  Как проник вирус неизвестно.
  
  Произошло:
  Ночью на виртуалку на Win10x64 с включенным RDP в папку c:\users\admin\music попал файл AD.exe
  На самой виртуалке ничего не зашифровалось, но два рабочих компьютера на Win11, которые были включены в тот момент зашифровались.
  Также не зашифровался ни один (из 5) рабочий сервер на виртуалках с WS2022.
  С зашифрованных компов была удалена система, поэтому лог анализа системы прикрепить не могу, файл шифровальщика тоже не сохранили.
  
  encrypt_files.zip

×

Уже зарегистрированы? Войти

×

Создать...