Перейти к содержанию

Зашифровались диски

bony_v
 Поделиться

Рекомендуемые сообщения

bony_v

bony_v

Опубликовано
Опубликовано

здравствуйте, такая же проблема. зашифровались диски, поздно о,наружили, что завелась пакость. систему перегрузили, винда упала в синий экран смерти. переустановили виндовс на другой носитель, есть незагружающийся диск и файлы типа памятка.pdf[omegawatch@protonmail.com][fer].[B16BB075-0EB6059B] . данные не удаляли еще, но как запустить Farbar recovery FRST64 чтобы получить логи?

по сути я запускаю на свежей, неповрежденной инфе и там нет упоминаний про вирус шифровальщик.

 

 

FRST.zip

thyrex

thyrex

Опубликовано
Опубликовано

Если система переустановлена, то и логи бесполезны.

 

Пример зашифрованного файла прикрепите в архиве к следующему сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

Увы, с версией 1.9.2.1 помочь в расшифровке невозможно.

bony_v

bony_v

Опубликовано
  • Автор
Опубликовано

спасибо большое за помощь. немного оффтопа, простите.

скажите, а я правильно понимаю, что запуск шифровальщика касперский интернет секьюрити не блокирует, запуск возможен на любом компе с включенной защитой? просто так легко он запустился на тестовом компе  (файл how_to_decrypt содержит в себе шифрование, сразу побежали секунды и прочее удовольствие) - на тестовом компе сделал опыт, касперский промолчал. 

печально конечно это, как бороться, не понимаю еще.

thyrex

thyrex

Опубликовано
Опубликовано

Зачастую после входа по RDP распространители еще и отключают антивирус. Вирусописатели всегда на шаг впереди любого разработчика антивирусных решений, а потому не всегда антивирус может среагировать.

 

2 часа назад, bony_v сказал:

файл how_to_decrypt содержит в себе шифрование

Это всего лишь сообщение от вымогателей для связи с ними. Изменения в нем происходят по таймеру. Никаких компонентов шифратора в нем нет.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • SкаZочNик
      Шифровальщик .lsjx
      Автор SкаZочNик
      Здравствуйте!
      Заражение компьютера произошло еще 7-го сентября вечером через взлом RDP. Комп попал в руки только сейчас. К расширениям всех файлов добавился вот такой хвост: .[reopening2025@gmail.com].lsjx
      Шифровальщик все еще активен в системе, т.к. после перезагрузки зашифровал свежие файлы. Есть незашифрованные копии этих свежих файлов. В результате действия вируса на зараженной машине был удален Kaspersky Small Office Security. Также на зараженном ПК обнаружен файл с именем, полностью совпадающим с ID в письме о выкупе. Причем этот файл настойчиво пытается запуститься и требует разрешения на запуск. На другом, назараженном ПК KES этот файл определяет как Trojan-Ransom.Win32.Generic. В случае необходимости архив с файлом-вирусом, а также с незашифрованными копиями файлов также могу приложить..
      Files.7z FRST.txt
    • ИТ45
      Trojan.Encoder.35209
      Автор ИТ45
      Добрый день! Просим помощи у кого есть дешифратор
    • AtamZzz
      Шифровальщик Cryakl 1.9.2.1
      Автор AtamZzz
      Помогите расшифровать.
      gr.rar сам шифровальщик - пароль virus
      второй собственно сам файл.
      IMG_1674.JPG[graff_de_malfet@protonmail.ch][123].rar gr.rar
    • wo-wo
      crylock 1.9.2.1 [reddragon000@protonmail.ch][sel2]
      Автор wo-wo
      Здравствуйте! Словил вирус-шифровальщик CryLock 1.9.2.1. Как я понял по темам форума, это последняя версия вируса, и он в данный момент не поддается расшифровке.

      Поможет ли как-то сама программа шифрования в расшифровке файлов? 

      Я нашел ее среди остальных программ, которые использовали злодеи. Возможно я просто им помешал закончить шифрование своего ПК, убив процессы Desktop Lockera и самого шифровальщика.  Судя по настройкам программы, там есть пункт Автоудаление после завершения процесса шифрования. И у большинства жертв не остается этого exe-шника. 

       
      Я попробовал его запустить на тестовой машине, он действительно шифрует выбранные вами файлы. При запуске выдается уникальный HID его нельзя изменить. Worker ID также нельзя изменить.  HID меняется при переустановки системы.  Также эта программа создает в конце во всех папках файл how-to-decrypt.   Если программу запустить дважды. Зашифрует все еще раз повторно. И у файлов будет длинное название повторяющееся *.docx[reddragon000@protonmail.ch][sel2].[32DC4F0D-836CA3AE].[reddragon000@protonmail.ch][sel2].[32DC4F0D-836CA3AE] 

      Также я здесь на форуме нашел декриптор graf_de_malfet  с двумя этапами, от другой версии шифровальщика, и попробовал ею расшифровать. Он пишет при поиске ключа, что old version. И не находит в зашифрованном файле ключ.  Ну соответственно без ключа не работает сам декриптор. 

      Может возможно как-то декомпилирвоать шифровальщик 1.9.2.1 и вытащить из него данные, и заменить этими данными в декрипторе graf_de_malfet. Чтобы получить рабочую версию декриптора. 

       



    • val1988
      Шифровальщик Cryakl 1.9.2.1 Нужна помощь
      Автор val1988
      Здравствуйте нарыл тело этого шивровальщика, может кто сможет помочь в востановлеении данных. С бекапов часть вытащил а свежие походу в ауте.
      Шифровальщик Cryakl 1.9.2.1
×
×
  • Создать...