Перейти к содержанию

Дешифровка файлов id[D22C5A70-2422].[SimpleSup@cock.li].Caley

Rollerteh
 Поделиться

Рекомендуемые сообщения

Rollerteh

Rollerteh

Опубликовано
Опубликовано (изменено)

Добрый день!

Помогите расшифровать файлы Caley.

Предыстория: Сам файл вируса(?) good.exe как-то попал в систему 31.07 и ждал своего часа.
16.09 в 19:05 видимо кто-то подключился, создал учетную запись update от которой велась "работа".
Сам good.exe предположительно был запущен в 00:30 17-го и работал как минимум до 8:23, зашифровав все что можно.
Файла с требованием выкупа нет. Предоставлены тестовые файлы из ms sql сервера.
Система не переставлялась. Good.exe отключен из автозапуска, FRST снимал данные с "рабочей" системы.

Файл шифровальшика good.exe есть, упакован в архив.

caley.zip

Addition.txt

Изменено пользователем Rollerteh
Добавлен файл Addition
thyrex

thyrex

Опубликовано
Опубликовано
Цитата

AdministratorRoller (S-1-5-21-2021157408-353489775-3957513533-1019 - Administrator - Enabled) => C:\Users\AdministratorRoller
sysadm (S-1-5-21-2021157408-353489775-3957513533-1022 - Administrator - Enabled) => C:\Users\sysadm
Администратор (S-1-5-21-2021157408-353489775-3957513533-500 - Administrator - Enabled) => C:\Users\Администратор

Даже стандартного Администратора не отключили...

 

13 минут назад, Rollerteh сказал:

Сам файл вируса(?) good.exe как-то попал в систему 31.07 и ждал своего часа

Попал в систему он как раз только сейчас, а 31.07 - это дата его компиляции злоумышленниками.

 

Зашли к Вам по RDP. Пароль смените.

 

C:\Users\AdministratorRoller\AppData\Local\good.exe удалите вручную.

 

С расшифровкой помочь не сможем.

Rollerteh

Rollerteh

Опубликовано
  • Автор
Опубликовано

Доброго времени суток!

 

21 минуту назад, thyrex сказал:
Цитата

Администратор (S-1-5-21-2021157408-353489775-3957513533-500 - Administrator - Enabled) => C:\Users\Администратор

Даже стандартного Администратора не отключили...

Имеется в виду пользователь со стандартным именем Администратор (Administrator), которого не заблокировали после создания других пользователей с правами администратора (того же sysadm)?

 

 

21 минуту назад, thyrex сказал:

C:\Users\AdministratorRoller\AppData\Local\good.exe удалите вручную.

и подобные - их штук 10 разбросано по разным местам. Удалим.

 

22 минуты назад, thyrex сказал:

С расшифровкой помочь не сможем.

Какая причина? Нет дешифровщика, сложный алгоритм, невозможность подбора ключей, шифрование в одну сторону?

thyrex

thyrex

Опубликовано
Опубликовано
4 часа назад, Rollerteh сказал:

Имеется в виду пользователь со стандартным именем Администратор (Administrator)

Именно так.

 

4 часа назад, Rollerteh сказал:

Какая причина?

Расшифровки нет ни у одной антивирусной компании. В данном случае это связано с нерациональностью по временным затратам подбора ключа.

 

https://id-ransomware.blogspot.com/2017/10/phobos-ransomware.html

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • kov44
      Помощь в дешифровке restore1_helper@gmx.de
      Автор kov44
      Добрый день! Несколько компьютеров в сети подверглись атаке вируса-шифровальщика. Вымогатель предлагает осуществить выкуп за помощь с дешифровкой за биткоины.
      Файлы были переименованы, в конце каждого суффикс "id[e2bdbcde-3259].[restore1_helper@gmx.de].Banta"
      Кто-нибудь сталкивался? Возможно дешифровка данных файлов
      Вот архив, в нем зашифрованные файлы, а также два файла info с требованием о выплате выкупа
      virus.rar
    • Evgeniy Alekseevich
      Файлы зашифрованы, расширение файлов helpo2, как расшифровать ?
      Автор Evgeniy Alekseevich
      05 августа , судя по датам файлов, на нашем сервере был запущен шифровальщик, кем и как пока выясняем, но сегодня утром я обнаружил зашифрованы практически все файлы.
      Файлы имеют расширение helpo2.
      Может кто сталкивался и сможет помочь ?
      Связались с вымогателями, они для примера расшифровали два файла, я вложил в архив два зашифрованных и они же расшифрованные . Там же письмо, которое они оставили.
      Также прикладываю файлы от  Farbar Recovery Scan Tool.
      Может кто сможет помочь....
      С Уважением, Евгений.
       
       
      Addition.txt FRST.txt НаборФайлов5шт.zip
    • Денис А
      Все файлы зашифрованы шифровальщиком
      Автор Денис А
      Добрый день.
      Помогите, пожалуйста, расшифровать файлы на ПК.
      Приложил файлы зашифрованные. лог FRST и текстовый файл с требованием выкупа.
       
      Заранее спасибо.
      AeyLALoFF.README.txt зашифрованные файлы.rar Addition.txt
      FRST.txt
    • Defa1t
      ШИФРУЕТ ФАЙЛЫ 9F2B
      Автор Defa1t
      Обратился коллега с зашифрованными файлами 9F2B, при открытии файлов через блокнот открывается лист с вымогателем
      Addition.txt FRST.txt Файлы 9F2B.zip
    • Владислав Эпштейн
      Помощь в расшифровке файлов
      Автор Владислав Эпштейн
      Доброго дня, обнаружен троян шифровальщик, расширения файлов - xxpfz2h
      Текст вымогателей найден отдельно, сам шифровальщик был удалён KVRT 
      Имеются только названия угроз: Trojan-Ransom.Win32.Mimic.av     -    HEUR:Backdoor.MSIL.Crysan.gen
      Просканировать систему не представляется возможным через программу которая приложена в правилах.
      Сканирование через KVRT осуществлял из под безопасного режима без сетевых драйверов и заражённый диск подключался через отдельный HDD хаб.
      Образцы зашифрованных файлов имеются, как и текстовый документ вымогателей
      Посоветуйте пожалуйста о дальнейших действиях
×
×
  • Создать...