Перейти к содержанию
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

Дешифровка файлов id[D22C5A70-2422].[SimpleSup@cock.li].Caley

Rollerteh
 Поделиться

Рекомендуемые сообщения

Rollerteh Новичок

Rollerteh

Опубликовано
Опубликовано (изменено)

Добрый день!

Помогите расшифровать файлы Caley.

Предыстория: Сам файл вируса(?) good.exe как-то попал в систему 31.07 и ждал своего часа.
16.09 в 19:05 видимо кто-то подключился, создал учетную запись update от которой велась "работа".
Сам good.exe предположительно был запущен в 00:30 17-го и работал как минимум до 8:23, зашифровав все что можно.
Файла с требованием выкупа нет. Предоставлены тестовые файлы из ms sql сервера.
Система не переставлялась. Good.exe отключен из автозапуска, FRST снимал данные с "рабочей" системы.

Файл шифровальшика good.exe есть, упакован в архив.

caley.zip

Addition.txt

Изменено пользователем Rollerteh
Добавлен файл Addition
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Цитата

AdministratorRoller (S-1-5-21-2021157408-353489775-3957513533-1019 - Administrator - Enabled) => C:\Users\AdministratorRoller
sysadm (S-1-5-21-2021157408-353489775-3957513533-1022 - Administrator - Enabled) => C:\Users\sysadm
Администратор (S-1-5-21-2021157408-353489775-3957513533-500 - Administrator - Enabled) => C:\Users\Администратор

Даже стандартного Администратора не отключили...

 

13 минут назад, Rollerteh сказал:

Сам файл вируса(?) good.exe как-то попал в систему 31.07 и ждал своего часа

Попал в систему он как раз только сейчас, а 31.07 - это дата его компиляции злоумышленниками.

 

Зашли к Вам по RDP. Пароль смените.

 

C:\Users\AdministratorRoller\AppData\Local\good.exe удалите вручную.

 

С расшифровкой помочь не сможем.

Ссылка на комментарий
Поделиться на другие сайты
Rollerteh Новичок

Rollerteh

Опубликовано
  • Автор
Опубликовано

Доброго времени суток!

 

21 минуту назад, thyrex сказал:
Цитата

Администратор (S-1-5-21-2021157408-353489775-3957513533-500 - Administrator - Enabled) => C:\Users\Администратор

Даже стандартного Администратора не отключили...

Имеется в виду пользователь со стандартным именем Администратор (Administrator), которого не заблокировали после создания других пользователей с правами администратора (того же sysadm)?

 

 

21 минуту назад, thyrex сказал:

C:\Users\AdministratorRoller\AppData\Local\good.exe удалите вручную.

и подобные - их штук 10 разбросано по разным местам. Удалим.

 

22 минуты назад, thyrex сказал:

С расшифровкой помочь не сможем.

Какая причина? Нет дешифровщика, сложный алгоритм, невозможность подбора ключей, шифрование в одну сторону?

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
4 часа назад, Rollerteh сказал:

Имеется в виду пользователь со стандартным именем Администратор (Administrator)

Именно так.

 

4 часа назад, Rollerteh сказал:

Какая причина?

Расшифровки нет ни у одной антивирусной компании. В данном случае это связано с нерациональностью по временным затратам подбора ключа.

 

https://id-ransomware.blogspot.com/2017/10/phobos-ransomware.html

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • TVagapov
      Помощь в дешифровке DarkStar
      Автор TVagapov
      14 августа вечером на компанию совершена атака шифровальщиком. Заражён контроллер домена, антивирус с обновлёнными базами не среагировал. Часть компьютерв в сети оказались заражены. На заражённых машинах антивирус присутствовал, но при нажатии на иконку в спулере, пункты меню отвечающие за проверку были серыми (недоступными).  На двух машинах при авторизации сработал антивирус, определил HEUR:Trojan-Ransom.Win32.Convagent.gen Объект: \\***.RU\\net;logon\ds.exe
       
      Прикладываю логи сканера, требования, образцы зашифрованых и оригинальных файлов.
       
      Требуется помощь в дешифровке файлов и определении стратегии восстановления и защиты от данного вируса.
      Logs_Files.7z
    • Elly
      Викторина по шифровальщикам и дешифровке. Правила
      Автор Elly
      Друзья! 
       
      На нашем форуме существует отдельный раздел для борьбы с шифровальщиками, куда нередко обращаются пострадавшие пользователи. Для повышения информированности о данной теме мы создали викторину, посвященную шифровальщикам и методам их дешифровки.
      Данная викторина – это интерактивный тест, который поможет вам разобраться в угрозах, связанных с шифровальщиками. Готовы проверить свои знания и умения в области информационной безопасности? У вас есть возможность помериться силами с другими участниками и узнать, насколько хорошо вы знакомы с утилитами "Лаборатории Касперского" от вирусов-шифровальщиков, указанных на сайте Noransom. Исследуйте разнообразные вопросы о механизмах работы шифровальщиков и приемах, используемых для их нейтрализации. Идеально подходит как для новичков, так и для более опытных пользователей, желающих обновить свои знания.
       
      НАГРАЖДЕНИЕ
      Без ошибок — 1500 баллов Одна ошибка — 1000 баллов Две ошибки — 700 баллов  
      ПРАВИЛА ПРОВЕДЕНИЯ
      Викторина проводится до 20:00 27.01.2025 года (время московское).
      Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины.

      Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователю @kmscom(пользователей @Friend и @Elly включать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответ будет дан в рамках созданной переписки, коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает.

      Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза, применить иные меры (вплоть до блокировки аккаунта) в случае выявления фактов его недобросовестного участия в ней и/или нарушения правил викторины, передачи ответов на викторину иным участникам. При ответе на вопросы викторины запрещается использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса.

      Вопросы по начислению баллов направлять пользователю @Elly через систему личных сообщений в течение 30 дней с момента подведения итогов викторины. Викторина является собственностью клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации клуба запрещено.

      Участие в викторине означает безоговорочное согласие с настоящими правилами. Для перехода к вопросам викторины нажмите ЗДЕСЬ.
    • Тимур М
      Шифровальщик Demetro9990@cock.li зашифровал все файлы на ПК
      Автор Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
    • MidgardS1
      Зашифрованы файлы
      Автор MidgardS1
      Привет! Столкнулись с таким же шифровальщиком. Подскажите, есть возможность расшифровать данные?
       
      Сообщение от модератора Mark D. Pearlstone Перенесено из темы.
    • BeckOs
      Зашифрованы все файлы
      Автор BeckOs
      На компьютере зашифрованы все файлы. Атака была ночью 
      FRST.txt files.7z
×
×
  • Создать...