Bureg Опубликовано 18 декабря, 2020 Опубликовано 18 декабря, 2020 Доброго, у меня две темы - 1. Есть сервер заражённый шифровальщиком с указанием почты - EnceryptedFiles@tutanota.com, имена файлов выглядят следующим образом - ИмяФайла.Расширение=[249B6518].email=[EnceryptedFiles@tutanota.com].ziggy Я получил на эти файлы декриптор, прилагаю его к письму, как отчёт с заражённого сервера. Вопрос состоит в том, что он не расшифровывает файлы, которые больше 800Mb. Мошенники пытаются это поправить, но у них ничего не получается пока. Я прошу помочь с этой проблемой, научить декриптор работать с большими файлами, если надо то предоставлю для тестов. Ну и вам наверное будет полезно получить декриптор, хотя я в этом не уверен. 2. Есть сервер заражённый шифровальщиком с указанием почты - spadefiles@tutanota.ru, имена файлов выглядят следующим образом - ИмяФайла.Расширение.[SpadeFiles@tutanota.com][YNGW9CXQDV5A1HK].Spade. Декриптора у меня нет. Вопрос в следующем - можно ли декриптор из первого случая переделать во второй? и поможете ли вы с этим? Прилагаю две версии декриптора к первому случаю. 249B6518 - прислали первый раз, 249B6518_4Tu8tWS - прислали во второй раз. CollectionLog-2020.12.18-09.59.zip decriptor.zip
Sandor Опубликовано 18 декабря, 2020 Опубликовано 18 декабря, 2020 Здравствуйте! Переместил тему в нужный раздел. Ознакомьтесь и выполните Порядок оформления запроса о помощи Для второго компьютера создайте отдельную тему в этом же разделе.
Bureg Опубликовано 18 декабря, 2020 Автор Опубликовано 18 декабря, 2020 добавляю зашифрованные файлы files.zip
Sandor Опубликовано 18 декабря, 2020 Опубликовано 18 декабря, 2020 Расшифровки этой версии вымогателя нет. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin TerminateProcessByName('c:\programdata\microsoft\windows\start menu\programs\startup\## how to decrypt ##.exe'); TerminateProcessByName('c:\users\Администратор\appdata\roaming\microsoft\windows\start menu\programs\startup\## how to decrypt ##.exe'); TerminateProcessByName('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Runtime Broker.exe'); QuarantineFile('c:\programdata\microsoft\windows\start menu\programs\startup\## how to decrypt ##.exe', ''); QuarantineFile('c:\users\Администратор\appdata\roaming\microsoft\windows\start menu\programs\startup\## how to decrypt ##.exe', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Runtime Broker.exe', ''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\## HOW TO DECRYPT ##.exe', ''); QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\## HOW TO DECRYPT ##.exe', ''); QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\Runtime Broker.exe', ''); DeleteFile('c:\programdata\microsoft\windows\start menu\programs\startup\## how to decrypt ##.exe', ''); DeleteFile('c:\users\Администратор\appdata\roaming\microsoft\windows\start menu\programs\startup\## how to decrypt ##.exe', ''); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Runtime Broker.exe', ''); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\## HOW TO DECRYPT ##.exe', '64'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Runtime Broker.exe', '64'); DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\## HOW TO DECRYPT ##.exe', '64'); DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\## HOW TO DECRYPT ##.exe', '64'); DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\## HOW TO DECRYPT ##.exe', ''); DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\Runtime Broker.exe', ''); ExecuteSysClean; end. Компьютер перезагрузите вручную. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Соберите и прикрепите логи FRST (по правилам).
Bureg Опубликовано 18 декабря, 2020 Автор Опубликовано 18 декабря, 2020 Спасибо, но я же вам прислал декриптор который купил у вымогателей, разве он не является расшифровкой? decriptor.zip декриптор есть, но проблема в том, что он не может расшифровать большие файлы(от 800Mb), я и пришёл с этой проблемой, в надежде, что вы мне как то поможете исправить его, что бы он работал с большими файлами.
Sandor Опубликовано 18 декабря, 2020 Опубликовано 18 декабря, 2020 Я видел то, что вы прикрепили. Вам прислали не универсальное средство, а только для вашей системы. Поэтому я и сказал, что расшифровки нет. Править чужую программу ещё и без нужного ключа вряд ли кто-то будет. 1 час назад, Sandor сказал: Соберите и прикрепите логи FRST (по правилам). Это делать будете?
Bureg Опубликовано 18 декабря, 2020 Автор Опубликовано 18 декабря, 2020 2 часа назад, Sandor сказал: Я видел то, что вы прикрепили. Вам прислали не универсальное средство, а только для вашей системы. Поэтому я и сказал, что расшифровки нет. Править чужую программу ещё и без нужного ключа вряд ли кто-то будет. Это делать будете? да не, уже бессмысленно
Рекомендуемые сообщения