Перейти к содержанию

Дешифровка файлов id[D22C5A70-2422].[SimpleSup@cock.li].Caley

Rollerteh
 Share

Рекомендуемые сообщения

Rollerteh Новичок

Rollerteh

Опубликовано
Опубликовано (изменено)

Добрый день!

Помогите расшифровать файлы Caley.

Предыстория: Сам файл вируса(?) good.exe как-то попал в систему 31.07 и ждал своего часа.
16.09 в 19:05 видимо кто-то подключился, создал учетную запись update от которой велась "работа".
Сам good.exe предположительно был запущен в 00:30 17-го и работал как минимум до 8:23, зашифровав все что можно.
Файла с требованием выкупа нет. Предоставлены тестовые файлы из ms sql сервера.
Система не переставлялась. Good.exe отключен из автозапуска, FRST снимал данные с "рабочей" системы.

Файл шифровальшика good.exe есть, упакован в архив.

caley.zip

Addition.txt

Изменено пользователем Rollerteh
Добавлен файл Addition
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Цитата

AdministratorRoller (S-1-5-21-2021157408-353489775-3957513533-1019 - Administrator - Enabled) => C:\Users\AdministratorRoller
sysadm (S-1-5-21-2021157408-353489775-3957513533-1022 - Administrator - Enabled) => C:\Users\sysadm
Администратор (S-1-5-21-2021157408-353489775-3957513533-500 - Administrator - Enabled) => C:\Users\Администратор

Даже стандартного Администратора не отключили...

 

13 минут назад, Rollerteh сказал:

Сам файл вируса(?) good.exe как-то попал в систему 31.07 и ждал своего часа

Попал в систему он как раз только сейчас, а 31.07 - это дата его компиляции злоумышленниками.

 

Зашли к Вам по RDP. Пароль смените.

 

C:\Users\AdministratorRoller\AppData\Local\good.exe удалите вручную.

 

С расшифровкой помочь не сможем.

Ссылка на комментарий
Поделиться на другие сайты
Rollerteh Новичок

Rollerteh

Опубликовано
  • Автор
Опубликовано

Доброго времени суток!

 

21 минуту назад, thyrex сказал:
Цитата

Администратор (S-1-5-21-2021157408-353489775-3957513533-500 - Administrator - Enabled) => C:\Users\Администратор

Даже стандартного Администратора не отключили...

Имеется в виду пользователь со стандартным именем Администратор (Administrator), которого не заблокировали после создания других пользователей с правами администратора (того же sysadm)?

 

 

21 минуту назад, thyrex сказал:

C:\Users\AdministratorRoller\AppData\Local\good.exe удалите вручную.

и подобные - их штук 10 разбросано по разным местам. Удалим.

 

22 минуты назад, thyrex сказал:

С расшифровкой помочь не сможем.

Какая причина? Нет дешифровщика, сложный алгоритм, невозможность подбора ключей, шифрование в одну сторону?

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
4 часа назад, Rollerteh сказал:

Имеется в виду пользователь со стандартным именем Администратор (Administrator)

Именно так.

 

4 часа назад, Rollerteh сказал:

Какая причина?

Расшифровки нет ни у одной антивирусной компании. В данном случае это связано с нерациональностью по временным затратам подбора ключа.

 

https://id-ransomware.blogspot.com/2017/10/phobos-ransomware.html

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • InnaC
      Файлы зашифрованы .Demetro9990@cock.li
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • Тимур М
      Шифровальщик Demetro9990@cock.li зашифровал все файлы на ПК
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
    • Пользователь Владимир
      Шифровальщик Demetro9990@cock.li
      От Пользователь Владимир
      Доброго дня.
      На компьютере большинство файлов сменили расширение, в конце дописано Demetro9990@cock.li
      После поиска информации в интернете выяснил что шифровальщик.
      Прошу вашей помощи в расшифровке и удалению программы с ПК.
      Примеры файлов в архиве, текстовый сообщение от вымогателей.
      README.txt зашифрован.rar Addition.txt FRST.txt
    • Profssn
      Расшифровка decrypting@cock.li
      От Profssn
      Нужна помощь расшифровать. Поймали на другом ПК с другой windows. Windows удален. Файлы переименованы на расшерение decrypting@cock.li
      Новая сжатая ZIP-папка.zip Addition.txt FRST.txt
    • Gistap
      Два файла Dwm.exe
      От Gistap
      Когда я включаю пк у меня он начинает сильно шуметь и проц грузиться очень сильно, и грееться до 70 градусов на рабочем столе. Когда я открываю диспетчер задач до 2 dwm.exe который походу майнер снижает моментально нагрузку с цп, но его задачу можно снять и он не будет грузить систему будет только 1 dwm.exe файл. И ещё у того dwm exe который грузит цп путь такой же как и у оригинального, что мне в этом случае делать я уже всё антивирусы перепробовал и в безопасном режиме их прогонял что только я не делал, не должен же себя так вести себя dwm exe почему когда я открываю диспетчер задач нагрузка моментально падает это же не нормально. Я думал что это майнер, антивирусы находили трояны я их удалял в безопасном режиме. Почему их воопще 2 может эта ошибка системы?

×
×
  • Создать...