Перейти к содержанию

Дешифровка файлов id[D22C5A70-2422].[SimpleSup@cock.li].Caley


Рекомендуемые сообщения

Добрый день!

Помогите расшифровать файлы Caley.

Предыстория: Сам файл вируса(?) good.exe как-то попал в систему 31.07 и ждал своего часа.
16.09 в 19:05 видимо кто-то подключился, создал учетную запись update от которой велась "работа".
Сам good.exe предположительно был запущен в 00:30 17-го и работал как минимум до 8:23, зашифровав все что можно.
Файла с требованием выкупа нет. Предоставлены тестовые файлы из ms sql сервера.
Система не переставлялась. Good.exe отключен из автозапуска, FRST снимал данные с "рабочей" системы.

Файл шифровальшика good.exe есть, упакован в архив.

caley.zip

Addition.txt

Изменено пользователем Rollerteh
Добавлен файл Addition
Ссылка на сообщение
Поделиться на другие сайты
Цитата

AdministratorRoller (S-1-5-21-2021157408-353489775-3957513533-1019 - Administrator - Enabled) => C:\Users\AdministratorRoller
sysadm (S-1-5-21-2021157408-353489775-3957513533-1022 - Administrator - Enabled) => C:\Users\sysadm
Администратор (S-1-5-21-2021157408-353489775-3957513533-500 - Administrator - Enabled) => C:\Users\Администратор

Даже стандартного Администратора не отключили...

 

13 минут назад, Rollerteh сказал:

Сам файл вируса(?) good.exe как-то попал в систему 31.07 и ждал своего часа

Попал в систему он как раз только сейчас, а 31.07 - это дата его компиляции злоумышленниками.

 

Зашли к Вам по RDP. Пароль смените.

 

C:\Users\AdministratorRoller\AppData\Local\good.exe удалите вручную.

 

С расшифровкой помочь не сможем.

Ссылка на сообщение
Поделиться на другие сайты

Доброго времени суток!

 

21 минуту назад, thyrex сказал:
Цитата

Администратор (S-1-5-21-2021157408-353489775-3957513533-500 - Administrator - Enabled) => C:\Users\Администратор

Даже стандартного Администратора не отключили...

Имеется в виду пользователь со стандартным именем Администратор (Administrator), которого не заблокировали после создания других пользователей с правами администратора (того же sysadm)?

 

 

21 минуту назад, thyrex сказал:

C:\Users\AdministratorRoller\AppData\Local\good.exe удалите вручную.

и подобные - их штук 10 разбросано по разным местам. Удалим.

 

22 минуты назад, thyrex сказал:

С расшифровкой помочь не сможем.

Какая причина? Нет дешифровщика, сложный алгоритм, невозможность подбора ключей, шифрование в одну сторону?

Ссылка на сообщение
Поделиться на другие сайты
4 часа назад, Rollerteh сказал:

Имеется в виду пользователь со стандартным именем Администратор (Administrator)

Именно так.

 

4 часа назад, Rollerteh сказал:

Какая причина?

Расшифровки нет ни у одной антивирусной компании. В данном случае это связано с нерациональностью по временным затратам подбора ключа.

 

https://id-ransomware.blogspot.com/2017/10/phobos-ransomware.html

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От BITL_DJUS
      Здравствуйте.
       
      1. Перестал запускаться Windows Server 2016 standart - при запуске уходит в перезагрузку.
      2. Windows Server 2016 standart - переустановили.
      3. Обнаружили шифрование данных
       
      FRST.txt Addition.txt архив с зашифрованными файлами и запиской о выкупе.rar
    • От wertygo77
      Добрый день!
      Помогите пожалуйста восстановить фалы на компьютере после вируса.Названия его к сожалению не знаю,но я подозреваю,что его имя Thanos.
      Проверил компьютер с помощью Kaspersky Virus Removal Tool 2015, удалил подозрительные файлы, далее пользовался утилитой Kaspersky Rakhni Decryptor...не помогло.
    • От kenet42
      FRST.txtfiles.7zДобрый день
      Поймали шифратор на сервер. 
      Образцы и результаты сканирования Farbar Recovery Scan Tool во вложении.
      Подскажите, есть ли шанс расшифровать данные?

      Спасибо!
    • От Allbox
      Столкнулись с действиями шифровальщика, очень просим помощи.
      Вредоносные действия предположительно произошли вчера вечезашифрованные файлы.zipром. Поражено всего 9 виртуальных машин, в т.ч. сервер с резервными копиями и сами копии (что делать крайне затруднительным восстановление). 

      Addition.txt FRST.txt
    • От msk.dmit
      Здравствуйте.
      Файлы на компьютере оказались зашифрованы, сможете помочь?
      Файл в архиве прикладываю.
      Спасибо. 
      С уважением, Дмитрий
      Счет на оплату № 328 от 24 августа 2020 г.pdf.id-F07CBFFB.[lpe-cve@usa.com].zip
×
×
  • Создать...