Перейти к содержанию

Рекомендуемые сообщения

Добрый день!

14.08.2020 были зашифрованы файлы на компьютере. О проблеме узнал сегодня утром. В расширении файлов появилась надпись [reddragon000@protonmail.ch][sel4]. 

Просканировал систему при помощи Farbar Recovery Scan Tool, файлы отчёта ниже.

Addition.txt FRST.txt

Изменено пользователем Денис Горенку
Ссылка на сообщение
Поделиться на другие сайты

Вот пример файлов и файл с требованием. 

 

2 минуты назад, thyrex сказал:

Но скорее всего расшифровки не будет

 

Слишком новый шифровщик? 

пример_и_файл_с_требованием.zip

Ссылка на сообщение
Поделиться на другие сайты
14 часов назад, thyrex сказал:

Мусор в системе чистить будем?

Да, конечно.

 

Подскажите, а возможно ли такое, что в ближайшем будущем появится расшифровщик нужной версии, или лучше даже не ждать?

Ссылка на сообщение
Поделиться на другие сайты
24 минуты назад, Денис Горенку сказал:

Подскажите, а возможно ли такое, что в ближайшем будущем появится расшифровщик нужной версии, или лучше даже не ждать?

Сомнительно, что он появится без слива ключей самими злодеями.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
Task: {234D6488-6C90-487C-BD38-7E1E99B4062F} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
2020-08-14 18:34 - 2020-08-14 18:34 - 000006038 _____ C:\how_to_decrypt.hta
2020-08-14 18:32 - 2020-08-14 18:32 - 000006038 _____ C:\Users\Пользователь\how_to_decrypt.hta
2020-08-14 18:32 - 2020-08-14 18:32 - 000006038 _____ C:\Users\Пользователь\Downloads\how_to_decrypt.hta
2020-08-14 18:32 - 2020-08-14 18:32 - 000006038 _____ C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-08-14 18:32 - 2020-08-14 18:32 - 000006038 _____ C:\Users\Пользователь\how_to_decrypt.hta
2020-08-14 18:32 - 2020-08-14 18:32 - 000006038 _____ C:\Users\Пользователь\AppData\Local\how_to_decrypt.hta
2020-08-14 18:32 - 2020-08-14 18:32 - 000006038 _____ C:\Users\Пользователь\AppData\how_to_decrypt.hta
2020-08-14 18:31 - 2020-08-14 18:31 - 000006038 _____ C:\Users\Пользователь\Documents\how_to_decrypt.hta
2020-08-14 18:29 - 2020-08-14 18:29 - 000006038 _____ C:\Users\Пользователь\Desktop\how_to_decrypt.hta
2020-08-14 18:02 - 2020-08-14 18:02 - 000006038 _____ C:\Users\Пользователь\AppData\Roaming\how_to_decrypt.hta
2020-08-14 18:02 - 2020-08-14 18:02 - 000006038 _____ C:\Users\Пользователь\AppData\how_to_decrypt.hta
2020-08-14 17:59 - 2020-08-14 17:59 - 000006038 _____ C:\Users\Пользователь\AppData\LocalLow\how_to_decrypt.hta
2020-08-14 17:45 - 2020-08-14 17:45 - 000006038 _____ C:\Users\Пользователь\AppData\Local\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\systembackup\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Public\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\defaultuser0\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\defaultuser0\Downloads\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\defaultuser0\Documents\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\defaultuser0\Desktop\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\defaultuser0\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\defaultuser0\AppData\Roaming\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\defaultuser0\AppData\LocalLow\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\defaultuser0\AppData\Local\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\defaultuser0\AppData\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default\Documents\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default\AppData\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default User\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default User\Downloads\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default User\Documents\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default User\Desktop\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default User\AppData\Roaming\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default User\AppData\Local\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default User\AppData\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\audit\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\audit\Downloads\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\audit\Documents\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\audit\Desktop\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\audit\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\audit\AppData\Roaming\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\audit\AppData\LocalLow\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\audit\AppData\Local\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\audit\AppData\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-08-14 17:43 - 2020-08-14 17:43 - 000006038 _____ C:\Users\Все пользователи\how_to_decrypt.hta
2020-08-14 17:43 - 2020-08-14 17:43 - 000006038 _____ C:\Users\how_to_decrypt.hta
2020-08-14 17:43 - 2020-08-14 17:43 - 000006038 _____ C:\ProgramData\how_to_decrypt.htaReboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на сообщение
Поделиться на другие сайты
  • 1 month later...

Добрый день!

 

По RedDragon есть ли вероятность расшифровки? 

 

Систему вылечили, лежат данные. Есть смысл подготовить логи и образцы,  как описано в правилах, или без шансов? Для некоторых файлов есть нешифрованные исходники.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Алексей321
      Добрый день. По RDP зашифровали файлы, вроде как почитав форум, похоже 1.9.0.0 (или так хочется думать), но возможно ошибаюсь, возможно ли помочь с расшифровкой, система не переустанавливалась, Заранее благодарен
      logs.zip crypted.zip
    • От praktik
      Здравствуйте, у меня та же проблема. Вирус зашифровал содержимое сетевых дисков общего пользования, системный диск и другой локальный диск остались нетронутыми.  А почему расшифровки этого варианта CryLock не появится? А если использовать для рашифровки сохранившиеся незашифрованные оригиналы файлов? У меня таких сохранилось очень много, для примера прикрепляю зашифрованный файл и оригинал.
      files.zip
    • От etavtomatika
      Здравствуйте! Прошу помощи в поиске решения проблемы, если это возможно.
      Прикладываю требуемые логи + архив с шифрованными файлами и запиской о выкупе
      шифрованные файлы.zip Addition.txt FRST.txt
    • От apxahreleon
      Добрый день, зашифрованы данные. Взлом был через RDP
      Addition.txt FRST.txt Шифрованные данные.zip Предположительно тело шифровальщика.zip Предположительно другое тело.zip Сообщение не экране.zip
    • От Jaunty
      Все файлы на сервере и в сетевой папке зашифрованы [graff_de_malfet@protonmail.ch][123], в архиве приложены образцы зашифрованных файлов требования от мошенников и логи 
      Desktop.rar
×
×
  • Создать...