Перейти к содержанию

Шифровальщик optimus (OptimusHelp@tutanota.com)

undersan
 Поделиться

Рекомендуемые сообщения

undersan Новичок

undersan

Опубликовано
Опубликовано

Зашифровал файлы с расширением .optimus

Текст сообщения: 

==============================================================================================

          /$$$$$$              /$$                             /$$          
         /$$__  $$            | $$                            |__/          
        | $$  \ $$  /$$$$$$  /$$$$$$    /$$$$$$  /$$$$$$/$$$$  /$$  /$$$$$$$
        | $$$$$$$$ /$$__  $$|_  $$_/   /$$__  $$| $$_  $$_  $$| $$ /$$_____/
        | $$__  $$| $$  \__/  | $$    | $$$$$$$$| $$ \ $$ \ $$| $$|  $$$$$$ 
        | $$  | $$| $$        | $$ /$$| $$_____/| $$ | $$ | $$| $$ \____  $$
        | $$  | $$| $$        |  $$$$/|  $$$$$$$| $$ | $$ | $$| $$ /$$$$$$$/
        |__/  |__/|__/         \___/   \_______/|__/ |__/ |__/|__/|_______/ 

                        !!! All your files encrypted !!!

You Have to Pay For The Restore
To Decrypt (Restore) them send e-mail to this address: OptimusHelp@tutanota.com
If we don't answer in 24h., send e-mail to this address: optimusfiles@mailfence.com
Your Unique ID : FE1857ED

==============================================================================================

 

Текст графикой: "Artemis"

 

Кто что подсказать может. Гугление особо не помогает. Я так понял, что это что-то свежее. Есть пример исходного и зашифрованного файла.

Ссылка на комментарий
Поделиться на другие сайты
undersan Новичок

undersan

Опубликовано
  • Автор
Опубликовано

Addition.txtFRST.txt

Первое сообщение отредактировать уже не могу. Прикрепил файлы (по инструкции). Придется создать новую тему (по правилам) или нет?

ReadMe-[FE1857ED].txt Optimus.rar

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Нет, новую не нужно.

 

К сожалению, расшифровки этой версии вымогателя нет.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKU\S-1-5-21-2157799608-500581443-2651113055-500\...\MountPoints2: {ae89b36f-ca26-11e8-bf70-e0d55e814360} - G:\SETUP.EXE
HKU\S-1-5-21-2157799608-500581443-2651113055-500\...\MountPoints2: {e553ac24-ca1c-11e8-9649-e0d55e814360} - G:\SETUP.EXE
IFEO\sethc.exe: [Debugger] C:\windows\system32\cmd.exe
2021-04-28 02:36 - 2021-04-28 02:36 - 000001106 _____ C:\Users\Администратор\Documents\ReadMe-[FE1857ED].txt
2021-04-28 02:36 - 2021-04-28 02:36 - 000001106 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\ReadMe-[FE1857ED].txt
2021-04-28 02:36 - 2021-04-28 02:36 - 000001106 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ReadMe-[FE1857ED].txt
2021-04-28 02:36 - 2021-04-28 02:36 - 000001106 _____ C:\Users\Администратор\AppData\Local\Temp\ReadMe-[FE1857ED].txt
2021-04-28 02:36 - 2021-04-28 02:35 - 000001106 _____ C:\Users\Администратор\Desktop\ReadMe-[FE1857ED].txt
2021-04-28 02:35 - 2021-04-28 02:35 - 000001106 _____ C:\Users\Администратор\ReadMe-[FE1857ED].txt
2021-04-28 02:35 - 2021-04-28 02:35 - 000001106 _____ C:\Users\ReadMe-[FE1857ED].txt
2021-04-28 02:35 - 2021-04-28 02:35 - 000001106 _____ C:\Users\Public\ReadMe-[FE1857ED].txt
2021-04-28 02:35 - 2021-04-28 02:35 - 000001106 _____ C:\Users\Public\Downloads\ReadMe-[FE1857ED].txt
2021-04-28 02:35 - 2021-04-28 02:35 - 000001106 _____ C:\Users\Public\Documents\ReadMe-[FE1857ED].txt
2021-04-28 02:35 - 2021-04-28 02:35 - 000001106 _____ C:\Users\Public\Desktop\ReadMe-[FE1857ED].txt
2021-04-28 02:35 - 2021-04-28 02:35 - 000001106 _____ C:\Users\MSSQLServerOLAPService\ReadMe-[FE1857ED].txt
2021-04-28 02:35 - 2021-04-28 02:35 - 000001106 _____ C:\ProgramData\Microsoft\Windows\Start Menu\ReadMe-[FE1857ED].txt
2021-04-28 02:35 - 2021-04-28 02:35 - 000001106 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ReadMe-[FE1857ED].txt
2021-04-28 02:35 - 2021-04-28 02:35 - 000001106 _____ C:\ProgramData\Documents\ReadMe-[FE1857ED].txt
2021-04-28 02:35 - 2021-04-28 02:35 - 000001106 _____ C:\ProgramData\Desktop\ReadMe-[FE1857ED].txt
2021-04-28 02:29 - 2021-04-28 02:29 - 000001106 _____ C:\Program Files (x86)\ReadMe-[FE1857ED].txt
2021-04-28 02:27 - 2021-04-28 02:27 - 000001106 _____ C:\Program Files\ReadMe-[FE1857ED].txt
2021-04-28 02:25 - 2021-04-28 02:25 - 000001106 _____ C:\ReadMe-[FE1857ED].txt
FirewallRules: [{D20CF85C-FFCA-4EEE-8C6B-69A589450CE2}] => (Allow) LPort=1560
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

 

Смените пароли на RDP и на учетную запись администратора.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KOMK
      Шифровальщик zimmer1488
      Автор KOMK
      Доброго времени суток.
      Поймали шифровальщик.Атакована вся организация. Выясняем источник откуда и как,но раскидался он по рдп на как минимум 7 рабочих мест, включая серв  АД и 1С. Так же на одном из предполагаемых источников заражения была обнаружена программа Everything API и крипто-программа КАРМА,мб оно как-то даст какую-то полезность?
      А так же папка с файлами именованная как "automim1"?
      Скажите вообще есть ли надежда что как-то можно найти остатки шифровальщика? Шифрованные файлы и файл записку прилагаю в архиве с паролем "virus":
      Остальное не знаю как добавить,вес больше 5мб получается.
       
      sekr_2.7z
    • Andrew Vi Ch
      Шифровальщик Trojan.Encoder.31074
      Автор Andrew Vi Ch
      Добрый день.
      Поймали указанный шифровальщик, в системных логах были ошибки службы ngrok, перехватили AD, остановили KES, зашифрованы все виртуальные машины (Hyper-V), базы данных... в общем - 99% инфраструктуры. Вычищены теневые копии.
      Приложены архивы: 
      encrypted.zip - 2 зашифрованных файла + текстовик с единственной строкой "message us for decrypt" (расширение зашифрованных файлов .X1g2d2vbb)
      frst.zip - логи FRST
      lock.zip - запароленный в соответствии с инструкцией архив с исполняемым файлом шифровальщика.
      Прошу оказать содействие в расшифровке.
      Спасибо.
    • dampe
      поймал шифровальщик ooo4ps
      Автор dampe
      Добрый день! прошу помощи, может кто то уже смог решить эту проблему. На облачный сервер проник вирус и зашифровал файлы, БД и заблокировал битлокером диск. Прикладываю лог Elcomsoft Encrypted Disk Hunter и пример зашифрованного файла
      EEDH - 02.03.2025 13-20-38.log ВМТ.pdf.rar
    • Kirill-Ekb
      Шифровальщик ELENOR-corp
      Автор Kirill-Ekb
      Приветствую
       
      По RDP в локальной сети распространился и зашифровал файлы ELENOR-corp на нескольких компьютерах.
      Во вложении файлы диагностики Farbar Recovery Scan Tool и архив с требованием и двумя небольшими зашифрованными файлами - всё с одного компьютера.
      Также есть файл вируса - готов предоставить по необходимости
      Основная цель: расшифровать файлы
      Addition.txt FRST.txt Требование и пример файлов.7z
    • darksimpson
      Помогите пожалуйста с шифровальщиком
      Автор darksimpson
      Добрый день.

      Помогите пожалуйста с определением зловреда и, возможно, с расшифровкой.

      Прикрепляю архив с логами FRST, двумя зашифрованными файлами и запиской.

      Спасибо!
      p4.zip
×
×
  • Создать...