Перейти к содержанию

[БЕЗ РАСШИФРОВКИ] шифровальщик [openpgp@foxmail.com].pgp

Player12
 Поделиться

Рекомендуемые сообщения

Player12

Player12

Опубликовано
Опубликовано (изменено)

Здравствуйте!

Просьба помочь с восстановлением данных. Вчера зашифровались почти все файлы. Вирус открыл для доступа все локальные диски и внешний диск подключенный к роутеру. До другого компьютера подключенному у домашней сети вирус не добрался. Скорее всего нажали на файл NS.exe который каким-то образом оказался на рабочем столе. 

 

Цитата

УК РФ Статья 273. Создание, использование и распространение вредоносных компьютерных программ

 

 

Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, -

наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.

 

Не надо выкладывать на форум вредоносные файлы!

 

CollectionLog-2020.06.12-14.39.zip Screenshot_2020-05-25-10-10-19-949_com.wordoffice.docx.docs.docxreader.freeword.png.id-946A71FD.[openpgp@foxmail.com].pgp

Изменено пользователем mike 1
Карантин в теме
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Это Dharma (.cezar Family) или Crysis по терминологии ЛК. Расшифровки нет.

Можем только помочь очистить систему от его следов, нужно?

Player12

Player12

Опубликовано
  • Автор
Опубликовано

Давайте очистим. Возможно ли при этой ситуации как-нибудь восстановить файлы? Насколько вероятно что будет расшифровка в ближайшее время?

akoK

akoK

Опубликовано
Опубликовано (изменено)

Нет, увы. Или иметь дело с преступниками, или посредниками.

Изменено пользователем akoK
Player12

Player12

Опубликовано
  • Автор
Опубликовано

Если создать резервную копию файлов, есть шанс что когда появится расшифровщик их можно будет восстановить?

LuxeonSl

LuxeonSl

Опубликовано
Опубликовано

Странно конечно но есть сайт где могут помочь расшифровать я отправил им файл на расшифровку и они очень быстро его расшифровали, но ценник в 200000 р как то разорителен, но смущает как у таких гигантов как Касперский, др,вэб, аванс нет дешифратора а у 1го человека есть, ну и скорость расшифровки так сказать космическая, есть подозрение что это 1 человек )  уже готов купить готовую подписку на антивирус если помогут с расшифровкой

akoK

akoK

Опубликовано
Опубликовано
16 часов назад, Player12 сказал:

Если создать резервную копию файлов, есть шанс что когда появится расшифровщик их можно будет восстановить?

Только если преступник сам опубликует ключи. Но такие прецеденты были, так, что сохраните.

 

13 часов назад, LuxeonSl сказал:

Странно конечно но есть сайт где могут помочь расшифровать я отправил им файл на расшифровку и они очень быстро его расшифровали, но ценник в 200000 р как то разорителен, но смущает как у таких гигантов как Касперский, др,вэб, аванс нет дешифратора а у 1го человека есть, ну и скорость расшифровки так сказать космическая, есть подозрение что это 1 человек )  уже готов купить готовую подписку на антивирус если помогут с расшифровкой

 

Тут нужно обратиться к справке, а именно к понятию: Криптографическая стойкость — свойство криптографического шифра противостоять криптоанализу, то есть анализу, направленному на изучение шифра с целью его дешифрования. Для изучения криптоустойчивости различных алгоритмов была создана специальная теория, рассматривающая типы шифров и их ключи, а также их стойкость. 

 

Если проще, то используется надежный алгоритм шифрования. А из этого делается вывод, что человек, который пытается продать дешифровку связан с преступниками и скорее всего является посредником, который имеет свой процент от сделки (отсюда и огромный ценник). В некоторых случаях можно восстановить БД 1с, т.к. шифровальщик не шифрует большую базу целиком.... с обычными файлами так не работает.

  • Like (+1) 1
Sandor

Sandor

Опубликовано
Опубликовано
18 часов назад, Player12 сказал:

Давайте очистим

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт): 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.

Компьютер перезагрузится

 

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Sandor

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
CreateRestorePoint:

GroupPolicy: Restriction ? <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
BHO: No Name -> {A6004AC2-D4EC-4092-AC2D-FF3AEE50CED1}' -> No File
BHO-x32: No Name -> {A6004AC2-D4EC-4092-AC2D-FF3AEE50CED1}' -> No File
ContextMenuHandlers4: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} =>  -> No File
ContextMenuHandlers6: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} =>  -> No File
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`20hfm [0]
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`29hfm [0]
Reboot:
End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Sandor

Sandor

Опубликовано
Опубликовано

Достаточно было один раз выполнить фикс.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Sandor

Sandor

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для обычных пользователей отключен
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
BitTorrent v.7.10.5.45665 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
µTorrent v.3.5.4.44520 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AppleProduction ] ---------------------------
QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 9 ActiveX v.9.0.115.0 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Google Chrome v.77.0.3865.90 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Loaris Trojan Remover 3.1.19 v.3.1.19 Внимание! Подозрение на демо-версию антишпионской программы, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
Driver Booster 5.5.1.844 v.5.5.1.844 Внимание! Подозрение на демо-версию антишпионской программы, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
Media v.1.0.0.0 << Скрыта Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
UmmyVideoDownloader v.1.10.3.2 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Kerish Doctor 2020 v.4.80 Внимание! Подозрение на демо-версию антишпионской программы, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
 

 

В логах с этой системы следов вымогателя не замечено.

 

Читайте Рекомендации после удаления вредоносного ПО

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • VictorM630103
      Помощь в расшифровке после действия шифровальщика
      Автор VictorM630103
      HEUR:Trojan-Ransom.Win32.Generic зашифровал файлы в системе. Добавленное расширение .gh8ta. Заражение произошло после открытия вложенного файла в электронном письме.
      Прилагаю логи, сообщение о выкупе. Файл вируса имеется в архиве (не прикреплен). Есть расшифрованные вымогателем пробные файлы.
      FRST.txt Файлы и сообщение о выкупе.zip
    • Татьяна_2
      Попался шифровальщик Ryuk64. Есть ли возможность расшифровки ?
      Автор Татьяна_2
      Утром увидели печальную картину на серваке. Что можно сделать ?
      Пример для дешифровки.rarruyk64_zip.rar
    • ArtemovskyD
      Поймал шифровальщик. Прошу помощи с расшифровкой.
      Автор ArtemovskyD
      Доброе время суток.
      Вчера поймал шифровальщик.
      На каждом разделе, даже на рекавери появился файл Datadecrypt.txt со следующим содержимым:
      Datadecrypt Ransomware!!!
      ATTENTION!
      YOUR PERSONAL DECRYPTION ID - 9CBpGok6gAfWHD9YR6l0SxlZDalH4X9Kp4NS4Is6EHE*Telegram@datadecrypt
      At the moment, your system is not protected.
      We can fix it and restore your files.
      To get started, send 1-2 small files to decrypt them as proof
      You can trust us after opening them
      2.Do not use free programs to unlock.
      OUR CONTACTS:
      Telegram - @datadecrypt
      https://t.me/datadecrypt
       
      Все зашифровано добрался и до резервной копии.
      На компьютере стоял Kaspersky Small Office Suite (лицензия), а сегодня он выгужен и все ярлыки на рабочем столе с весьма не веселым расширением (пример: Chromium-Gost.lnk.Telegram@datadecrypt)

      Файлы нужны так что хотелось бы инструкцию кто - что знает как можно попытаться расшифровать это все.
       
      Заранее благодарен.
    • pasha.ne
      [Расшифровано]Запрос на расшифровку после неопознанного шифровальщика
      Автор pasha.ne
      Добрый день.
      Два сервера пострадали от одного шифровальщика.
      Шифровальщик зашифровал все файлы на дисках C и D
      На всех файлах дата последнего изменения 19.03.2024 между 00:00 и 05:00
      Проверял записку о выкупе по нескольким открытым базам - ничего не находит.
      Записка лежит на рабочем столе в файл ReadMe.txt
       
      Вот такой ответ прислали на мой запрос о расшифровке.
      Hello my friend Im sorry for this situation You must pay 1800$ as XMR to decrypt your files and teach your bugs For more trust you can send a small wortless file for decryption test  
      Помогите идентифицировать шифровальщик и если возможно воссановить базу MSSQL размером около 50Gb.
      Addition.txt FRST.txt README.zip
    • Сергей Комаров
      Поймали шифровальщика, прошу помощи в определении и расшифровке
      Автор Сергей Комаров
      Добрый день! Сегодня в 3 ночи были зашифрованы все виртуальные машины (hyper-v) и файлы бэкапов на серверах компании.
      Пример зашифрованных файлов и readme прилагаю.
       
      Прошу помощи в определении типа шифровальщика и расшифровке.
      db2a95f2436fe2bc3ce6f2-README.txt Files.zip
×
×
  • Создать...