Перейти к содержанию

Шифровальщик optimus (OptimusHelp@tutanota.com)

undersan
 Share Подписчики 1

Рекомендуемые сообщения

undersan

undersan 0

Опубликовано
Опубликовано

Зашифровал файлы с расширением .optimus

Текст сообщения: 

==============================================================================================

          /$$$$$$              /$$                             /$$          
         /$$__  $$            | $$                            |__/          
        | $$  \ $$  /$$$$$$  /$$$$$$    /$$$$$$  /$$$$$$/$$$$  /$$  /$$$$$$$
        | $$$$$$$$ /$$__  $$|_  $$_/   /$$__  $$| $$_  $$_  $$| $$ /$$_____/
        | $$__  $$| $$  \__/  | $$    | $$$$$$$$| $$ \ $$ \ $$| $$|  $$$$$$ 
        | $$  | $$| $$        | $$ /$$| $$_____/| $$ | $$ | $$| $$ \____  $$
        | $$  | $$| $$        |  $$$$/|  $$$$$$$| $$ | $$ | $$| $$ /$$$$$$$/
        |__/  |__/|__/         \___/   \_______/|__/ |__/ |__/|__/|_______/ 

                        !!! All your files encrypted !!!

You Have to Pay For The Restore
To Decrypt (Restore) them send e-mail to this address: OptimusHelp@tutanota.com
If we don't answer in 24h., send e-mail to this address: optimusfiles@mailfence.com
Your Unique ID : FE1857ED

==============================================================================================

 

Текст графикой: "Artemis"

 

Кто что подсказать может. Гугление особо не помогает. Я так понял, что это что-то свежее. Есть пример исходного и зашифрованного файла.

Ссылка на сообщение
Поделиться на другие сайты
undersan

undersan 0

Опубликовано
  • Автор
Опубликовано

Addition.txtFRST.txt

Первое сообщение отредактировать уже не могу. Прикрепил файлы (по инструкции). Придется создать новую тему (по правилам) или нет?

ReadMe-[FE1857ED].txt Optimus.rar

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Нет, новую не нужно.

 

К сожалению, расшифровки этой версии вымогателя нет.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKU\S-1-5-21-2157799608-500581443-2651113055-500\...\MountPoints2: {ae89b36f-ca26-11e8-bf70-e0d55e814360} - G:\SETUP.EXE
HKU\S-1-5-21-2157799608-500581443-2651113055-500\...\MountPoints2: {e553ac24-ca1c-11e8-9649-e0d55e814360} - G:\SETUP.EXE
IFEO\sethc.exe: [Debugger] C:\windows\system32\cmd.exe
2021-04-28 02:36 - 2021-04-28 02:36 - 000001106 _____ C:\Users\Администратор\Documents\ReadMe-[FE1857ED].txt
2021-04-28 02:36 - 2021-04-28 02:36 - 000001106 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\ReadMe-[FE1857ED].txt
2021-04-28 02:36 - 2021-04-28 02:36 - 000001106 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ReadMe-[FE1857ED].txt
2021-04-28 02:36 - 2021-04-28 02:36 - 000001106 _____ C:\Users\Администратор\AppData\Local\Temp\ReadMe-[FE1857ED].txt
2021-04-28 02:36 - 2021-04-28 02:35 - 000001106 _____ C:\Users\Администратор\Desktop\ReadMe-[FE1857ED].txt
2021-04-28 02:35 - 2021-04-28 02:35 - 000001106 _____ C:\Users\Администратор\ReadMe-[FE1857ED].txt
2021-04-28 02:35 - 2021-04-28 02:35 - 000001106 _____ C:\Users\ReadMe-[FE1857ED].txt
2021-04-28 02:35 - 2021-04-28 02:35 - 000001106 _____ C:\Users\Public\ReadMe-[FE1857ED].txt
2021-04-28 02:35 - 2021-04-28 02:35 - 000001106 _____ C:\Users\Public\Downloads\ReadMe-[FE1857ED].txt
2021-04-28 02:35 - 2021-04-28 02:35 - 000001106 _____ C:\Users\Public\Documents\ReadMe-[FE1857ED].txt
2021-04-28 02:35 - 2021-04-28 02:35 - 000001106 _____ C:\Users\Public\Desktop\ReadMe-[FE1857ED].txt
2021-04-28 02:35 - 2021-04-28 02:35 - 000001106 _____ C:\Users\MSSQLServerOLAPService\ReadMe-[FE1857ED].txt
2021-04-28 02:35 - 2021-04-28 02:35 - 000001106 _____ C:\ProgramData\Microsoft\Windows\Start Menu\ReadMe-[FE1857ED].txt
2021-04-28 02:35 - 2021-04-28 02:35 - 000001106 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ReadMe-[FE1857ED].txt
2021-04-28 02:35 - 2021-04-28 02:35 - 000001106 _____ C:\ProgramData\Documents\ReadMe-[FE1857ED].txt
2021-04-28 02:35 - 2021-04-28 02:35 - 000001106 _____ C:\ProgramData\Desktop\ReadMe-[FE1857ED].txt
2021-04-28 02:29 - 2021-04-28 02:29 - 000001106 _____ C:\Program Files (x86)\ReadMe-[FE1857ED].txt
2021-04-28 02:27 - 2021-04-28 02:27 - 000001106 _____ C:\Program Files\ReadMe-[FE1857ED].txt
2021-04-28 02:25 - 2021-04-28 02:25 - 000001106 _____ C:\ReadMe-[FE1857ED].txt
FirewallRules: [{D20CF85C-FFCA-4EEE-8C6B-69A589450CE2}] => (Allow) LPort=1560
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

 

Смените пароли на RDP и на учетную запись администратора.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • diox
      Зашифровали все файлы вирусами Ransom.Artemis и Ransom.FileCryptor
      От diox
      Через удалённый рабочий стол зашифровали все данные на сервере (Windows Server 2008 R2 Standard).
      Файлы стали иметь вид: ИМЯ.РАСШИРЕНИЕ.(MJ-XH3481609725)(Decryption.helper@aol.com).Cj.id[A8027869].[unlockdeer@gmail.com].optimus
      Сканированием с помощью Malwarebytes, в папке Musik обнаружилось два вируса Ransom.Artemis (unlockdeer@gmail.com.exe) и Ransom.FileCryptor (decryptcj@gmail.com.exe). Так же там лежат две программы Advanced_IP_Scanner_2.5.3850.exe и mimikatz_trunk (5).zip.
      Связывались с мошенниками, они просили прислать файлы из ProgramData, там какой-то ключ лежит, так что их тоже прикрепляю архивом без пароля.
      FRST.txt Addition.txt Trojan.rar Файлы и требование.rar ProgramData.rar
    • viktorsnab
      Помогите расшифровать
      От viktorsnab
      Помогите расшифровать, плиз.
      FRST.txt Addition.txt ReadMe-[9AFD975B].txt Обьявления].rar
    • sashapple
      Всех приветствую. Через RDP словил на одном из локальных ПК шифровщик , который зашифровал терминальный сервер, с бэкапом беда.
      От sashapple
      отчетоктан.rar
    • PereGooDov
      Шифровальщик ARTEMIS
      От PereGooDov
      Доброго дня. Ситуация следующая.  Проник и зашифровал все файлы шифровальщик Artemis. Предположительно через почту , предположительно новой молодой сотрудницей.
      Ситуация развернулась следующим образом : сообщение появилось что мы зашифрованы ( принт скрин приложу) , мы написали им письмо с присвоенным нам ID . В ответ получили стоимость за расшифровку. Сумму удалось снизить. Сумму перевели. Получили расшифровщик и запустили его по инструкции. Он открыл некоторые файлы, но некоторые важные не смог.
      В ошибках он ссылается на какой то свой файл, которые по его разумению должен был быть в корневом диске. Но суть в том, что когда вирус обнаружили, диски сняты были, подключены выносными дисками и проверены антивирусами на других компах. И эти антивирусы поудаляли вредоносные файлы. Думается нам , что они то и удалили тот файл на которые все время ссылается расшифровщик и потому не может расшифровать.  Помогите расшифровать.

      Artemis(pass_virus).zip
    • n1ghtenergy
      шифровальщик optimus.
      От n1ghtenergy
      Доброго времени суток, случилась такая беда....я так думаю при подключении по RDP пролез шифровальщик. файлики прилепил согласно инструкции.
      5м4.rar Addition.txt FRST.txt
×
×
  • Создать...