Перейти к содержанию

Файлы зашифрованы [reddragon000@protonmail.ch][sel4]

Денис Горенку

От Денис Горенку
в Помощь в борьбе с шифровальщиками-вымогателями

 Share

Рекомендуемые сообщения

Денис Горенку Новичок

Денис Горенку

Опубликовано
Опубликовано (изменено)

Добрый день!

14.08.2020 были зашифрованы файлы на компьютере. О проблеме узнал сегодня утром. В расширении файлов появилась надпись [reddragon000@protonmail.ch][sel4]. 

Просканировал систему при помощи Farbar Recovery Scan Tool, файлы отчёта ниже.

Addition.txt FRST.txt

Изменено пользователем Денис Горенку
Ссылка на комментарий
Поделиться на другие сайты
Денис Горенку Новичок

Денис Горенку

Опубликовано
  • Автор
Опубликовано

Вот пример файлов и файл с требованием. 

 

2 минуты назад, thyrex сказал:

Но скорее всего расшифровки не будет

 

Слишком новый шифровщик? 

пример_и_файл_с_требованием.zip

Ссылка на комментарий
Поделиться на другие сайты
Денис Горенку Новичок

Денис Горенку

Опубликовано
  • Автор
Опубликовано
14 часов назад, thyrex сказал:

Мусор в системе чистить будем?

Да, конечно.

 

Подскажите, а возможно ли такое, что в ближайшем будущем появится расшифровщик нужной версии, или лучше даже не ждать?

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
24 минуты назад, Денис Горенку сказал:

Подскажите, а возможно ли такое, что в ближайшем будущем появится расшифровщик нужной версии, или лучше даже не ждать?

Сомнительно, что он появится без слива ключей самими злодеями.

 

1. Выделите следующий код: 

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
Task: {234D6488-6C90-487C-BD38-7E1E99B4062F} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
2020-08-14 18:34 - 2020-08-14 18:34 - 000006038 _____ C:\how_to_decrypt.hta
2020-08-14 18:32 - 2020-08-14 18:32 - 000006038 _____ C:\Users\Пользователь\how_to_decrypt.hta
2020-08-14 18:32 - 2020-08-14 18:32 - 000006038 _____ C:\Users\Пользователь\Downloads\how_to_decrypt.hta
2020-08-14 18:32 - 2020-08-14 18:32 - 000006038 _____ C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-08-14 18:32 - 2020-08-14 18:32 - 000006038 _____ C:\Users\Пользователь\how_to_decrypt.hta
2020-08-14 18:32 - 2020-08-14 18:32 - 000006038 _____ C:\Users\Пользователь\AppData\Local\how_to_decrypt.hta
2020-08-14 18:32 - 2020-08-14 18:32 - 000006038 _____ C:\Users\Пользователь\AppData\how_to_decrypt.hta
2020-08-14 18:31 - 2020-08-14 18:31 - 000006038 _____ C:\Users\Пользователь\Documents\how_to_decrypt.hta
2020-08-14 18:29 - 2020-08-14 18:29 - 000006038 _____ C:\Users\Пользователь\Desktop\how_to_decrypt.hta
2020-08-14 18:02 - 2020-08-14 18:02 - 000006038 _____ C:\Users\Пользователь\AppData\Roaming\how_to_decrypt.hta
2020-08-14 18:02 - 2020-08-14 18:02 - 000006038 _____ C:\Users\Пользователь\AppData\how_to_decrypt.hta
2020-08-14 17:59 - 2020-08-14 17:59 - 000006038 _____ C:\Users\Пользователь\AppData\LocalLow\how_to_decrypt.hta
2020-08-14 17:45 - 2020-08-14 17:45 - 000006038 _____ C:\Users\Пользователь\AppData\Local\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\systembackup\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Public\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\defaultuser0\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\defaultuser0\Downloads\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\defaultuser0\Documents\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\defaultuser0\Desktop\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\defaultuser0\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\defaultuser0\AppData\Roaming\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\defaultuser0\AppData\LocalLow\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\defaultuser0\AppData\Local\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\defaultuser0\AppData\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default\Documents\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default\AppData\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default User\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default User\Downloads\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default User\Documents\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default User\Desktop\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default User\AppData\Roaming\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default User\AppData\Local\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default User\AppData\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\audit\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\audit\Downloads\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\audit\Documents\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\audit\Desktop\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\audit\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\audit\AppData\Roaming\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\audit\AppData\LocalLow\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\audit\AppData\Local\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\audit\AppData\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-08-14 17:43 - 2020-08-14 17:43 - 000006038 _____ C:\Users\Все пользователи\how_to_decrypt.hta
2020-08-14 17:43 - 2020-08-14 17:43 - 000006038 _____ C:\Users\how_to_decrypt.hta
2020-08-14 17:43 - 2020-08-14 17:43 - 000006038 _____ C:\ProgramData\how_to_decrypt.htaReboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на комментарий
Поделиться на другие сайты
  • 1 month later...
Soran Новичок

Soran

Опубликовано
Опубликовано

Добрый день!

 

По RedDragon есть ли вероятность расшифровки? 

 

Систему вылечили, лежат данные. Есть смысл подготовить логи и образцы,  как описано в правилах, или без шансов? Для некоторых файлов есть нешифрованные исходники.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Andrei Butyrchyk
      Зашифрованы файлы с расширением .mammn
      От Andrei Butyrchyk
      Здравствуйте!
      Отработал на машине шифровальщик. До конца отработать, по всей видимости, не успел так как нет записки и не все файлы были зашифрованы.
      Есть папки с RSADecryptKey и предположительно сам файл шифровальщик.
      FRST.zip EncryptedFiles.zip
    • Лариса B
      King зашифровал файлы организации
      От Лариса B
      Добрый день!
      В локальную сеть попал шифровальщик.  Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      К сожалению пока не удалось понять, как он попал и где нахоится источник(. 
      Но сегодня  ночью, по времени - все файлы  оказались зашифрованы. 

      Прикладывают  файлы, согласно правилам зашифрованные файлы + требования.rar

      Подскажите пож-та 
      1. Как найти источник   заражения, сам шифровальщик, какие есть методы 
      2. Как можно дешифровать  данные файлы 
       
      Спасибо большое!
    • specxpilot
      Вирус зашифровал файлы с расширением .iw8
      От specxpilot
      Текст сообщения 
      !!!Your files have been encrypted!!!
      To recover them, please contact us via email:
      Write the ID in the email subject
      ID: E3EA701E87735CC1E8DD980E923F89D4
      Email 1: Datablack0068@gmail.com
      Email 2: Datablack0068@cyberfear.com
      Telegram: @Datablack0068

      To ensure decryption you can send 1-2 files (less than 1MB) we will decrypt it for free.
      IF 48 HOURS PASS WITHOUT YOUR ATTENTION, BRACE YOURSELF FOR A DOUBLED PRICE.
      WE DON'T PLAY AROUND HERE, TAKE THE HOURS SERIOUSLY.
    • hobbit86
      King Ransomware зашифровал файлы организации
      От hobbit86
      Добрый день!
      На сервер 1С попал шифровальщик King Ransomware. Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      Проблема появилась после посещения специалиста обслуживающей 1С компании по Anydesk.
       
      FRST.txt Virus.rar Encrypted.rar
    • ALFGreat
      Шифровальщик BitLocker зашифровал все диски и файлы.
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
×
×
  • Создать...