Перейти к содержанию

Дешифровка файлов id[D22C5A70-2422].[SimpleSup@cock.li].Caley

Rollerteh
 Share

Рекомендуемые сообщения

Rollerteh Новичок

Rollerteh

Опубликовано
Опубликовано (изменено)

Добрый день!

Помогите расшифровать файлы Caley.

Предыстория: Сам файл вируса(?) good.exe как-то попал в систему 31.07 и ждал своего часа.
16.09 в 19:05 видимо кто-то подключился, создал учетную запись update от которой велась "работа".
Сам good.exe предположительно был запущен в 00:30 17-го и работал как минимум до 8:23, зашифровав все что можно.
Файла с требованием выкупа нет. Предоставлены тестовые файлы из ms sql сервера.
Система не переставлялась. Good.exe отключен из автозапуска, FRST снимал данные с "рабочей" системы.

Файл шифровальшика good.exe есть, упакован в архив.

caley.zip

Addition.txt

Изменено пользователем Rollerteh
Добавлен файл Addition
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Цитата

AdministratorRoller (S-1-5-21-2021157408-353489775-3957513533-1019 - Administrator - Enabled) => C:\Users\AdministratorRoller
sysadm (S-1-5-21-2021157408-353489775-3957513533-1022 - Administrator - Enabled) => C:\Users\sysadm
Администратор (S-1-5-21-2021157408-353489775-3957513533-500 - Administrator - Enabled) => C:\Users\Администратор

Даже стандартного Администратора не отключили...

 

13 минут назад, Rollerteh сказал:

Сам файл вируса(?) good.exe как-то попал в систему 31.07 и ждал своего часа

Попал в систему он как раз только сейчас, а 31.07 - это дата его компиляции злоумышленниками.

 

Зашли к Вам по RDP. Пароль смените.

 

C:\Users\AdministratorRoller\AppData\Local\good.exe удалите вручную.

 

С расшифровкой помочь не сможем.

Ссылка на комментарий
Поделиться на другие сайты
Rollerteh Новичок

Rollerteh

Опубликовано
  • Автор
Опубликовано

Доброго времени суток!

 

21 минуту назад, thyrex сказал:
Цитата

Администратор (S-1-5-21-2021157408-353489775-3957513533-500 - Administrator - Enabled) => C:\Users\Администратор

Даже стандартного Администратора не отключили...

Имеется в виду пользователь со стандартным именем Администратор (Administrator), которого не заблокировали после создания других пользователей с правами администратора (того же sysadm)?

 

 

21 минуту назад, thyrex сказал:

C:\Users\AdministratorRoller\AppData\Local\good.exe удалите вручную.

и подобные - их штук 10 разбросано по разным местам. Удалим.

 

22 минуты назад, thyrex сказал:

С расшифровкой помочь не сможем.

Какая причина? Нет дешифровщика, сложный алгоритм, невозможность подбора ключей, шифрование в одну сторону?

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
4 часа назад, Rollerteh сказал:

Имеется в виду пользователь со стандартным именем Администратор (Administrator)

Именно так.

 

4 часа назад, Rollerteh сказал:

Какая причина?

Расшифровки нет ни у одной антивирусной компании. В данном случае это связано с нерациональностью по временным затратам подбора ключа.

 

https://id-ransomware.blogspot.com/2017/10/phobos-ransomware.html

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • InnaC
      Файлы зашифрованы .Demetro9990@cock.li
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • TVagapov
      Помощь в дешифровке DarkStar
      От TVagapov
      14 августа вечером на компанию совершена атака шифровальщиком. Заражён контроллер домена, антивирус с обновлёнными базами не среагировал. Часть компьютерв в сети оказались заражены. На заражённых машинах антивирус присутствовал, но при нажатии на иконку в спулере, пункты меню отвечающие за проверку были серыми (недоступными).  На двух машинах при авторизации сработал антивирус, определил HEUR:Trojan-Ransom.Win32.Convagent.gen Объект: \\***.RU\\net;logon\ds.exe
       
      Прикладываю логи сканера, требования, образцы зашифрованых и оригинальных файлов.
       
      Требуется помощь в дешифровке файлов и определении стратегии восстановления и защиты от данного вируса.
      Logs_Files.7z
    • Parad0xXx
      ELPACO-team нужна помощь в лечении пк и дешифровке файлов
      От Parad0xXx
      07.07 с утра обнаружили шифровальщика на сервере 1с. RDP было открыто(стояла ip ban и бесплатный антивирус кашперского). Так же были зашифрованы архивы баз 1с. Вот их то бы и нужно расшифровать. Остальное ценности не имеет.
       
      Почитал на форуме темы, я так понимаю вирус новый, буду рад любой помощи.
      Addition.txt Decryption_INFO.rar FRST.txt Актуальные базы 1С.txt.rar Новый текстовый документ.txt.rar
    • tau34
      Троян в pdf файле?
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

    • Шаманов_Артём
      Зашифровались файлы. Помогите, пожалуйста.
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
×
×
  • Создать...