Перейти к содержанию

Рекомендуемые сообщения

Всем здрасте. 

Намотали девочки этот шифровальщик на работе, потерь инфы нет из-за бакапов.

 

Но:

Среди зашифрованных есть файлик длиной 256 байт, который есть в изначальном виде длиной 4 байт.

Главная особенность этого файлика - в изначальном виде все 4 байта у него $00

Т.е. этот файлик в HEX:  00 00 00 00

После шифрации он 256 байт, из которых первые 84 байта его имя и тп.

И подобных мелких или изначально нулевых файлов множество.

Открытый ключ тоже сохранён - заражение через виртуальную машину по рдп было..

 

Если Лаб.Касперского интересно создать дешифратор для этой гадости - буду рад всё отправить.

 

 

 

 

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Эти данные бесполезны.

 

55 минут назад, Вячеслав_SSh сказал:

заражение через виртуальную машину по рдп было

Меняйте пароль.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От ArataKun
      Здравствуйте.
      На моём компьютере поработал шифровальщик. К именам зашифрованных файлов после их расширения добавился текст "id-7E8FBAB9.[cl_crypt@aol.com].cl". В каждой папке появился файл "FILES ENCRYPTED.txt" со следующим содержимым:
       
      "all your data has been locked us
      You want to return?
      write email cl_crypt@aol.com or cl_crypt2@aol.com"
       
      Баннер с требованием выкупа был в файле "info.hta". Там ничего нового не сказано. Не знаю, можно ли прикрепить его на форуме, если, например, я поменяю расширение на TXT, или это будет нарушением. Но думаю, что это лишне.
      Обнаружилась проблема 3 дня назад. На машине стоял Kaspersky Security Cloud, но когда я подключился к компьютеру, антивирус не был запущен, а многие файлы в папке "Program Files (x86)" были также зашифрованы, поэтому я не смог запустить антивирус. Установил его заново, прошёлся сканером, тот удалил некоторые файлы. Среди них был "exploit.exe". К сожалению, выцепить его я не догадался, так что экзешника вируса у меня нет. После нескольких перезагрузок в течение этих дней баннер больше не появлялся и новые файлы не шифровались.
      Касперский в процессе сканирования определил "exploit.exe" как "Trojan-Ransome.Win32.Crusis.to". Пробовал расшифровать файлы утилитой "RakhniDecryptor", она выдаёт сообщение "Неподдерживаемый тип зашифрованного файла".
      Приложил к письму 2 архива:
      1. "FRST.7z". В нём результат работы Farbar Recovery Scan Tool.
      2. "encrypted_files.7z". В нём 2 зашифрованных вордовских файла и их оригиналы до шифрования (удалось найти).
       
      Надеюсь, что мои файлы реально будет расшифровать.
      encrypted_files.7z FRST.7z
    • От Yak
      Добрый день.
      Сервер windows 2008 R2. По RDP поймали шифровальщика Crusis. 
      При обнаружении перезагрузил сервер, прогнал Касперский Virus Removal Tool. KVRT находил тело вируса после первого и второго проходов.
      Сначала в паке пользователя, через которого произошло заражение (AppData\Roaming\winhost.exe, потом в папке C:\Users\Public\Sample Music\winhost.exe c Crusis и local.exe с NetTool.Win32.Scan.ot 
      Сейчас KVRT ничего не находит, но закралась уверенность, что эта гадость еще в системе.
      Помогите, пожалуйста,  вычислить и остатки подчистить.
      Файлы понятное дело уже потеряны.
      CollectionLog-2020.03.01-21.41.zip
×
×
  • Создать...