Перейти к содержанию

Рекомендуемые сообщения

Добрый день.

Помогите определить шифровальщика и возможность расшифровать файлы.

Исполняемый файл переименовался по аналогии с зашифрованными, но сам, похоже не успел зашифроваться.

frst.zip sample.zip

Ссылка на сообщение
Поделиться на другие сайты

4.  Что необходимо сделать:

  • Подготовьте логи анализа системы при помощи FRST - frst.zip
  • Подготовьте несколько небольших зашифрованных документов - sample.zip
  • Сохраните в отдельном архиве с паролем (virus) файл шифровальщика - сделал, не прикладывал, о его наличии сообщил


5. Создайте тему в разделе «Помощь в борьбе с шифровальщиками-вымогателями». Для этого выполните следующие шаги:

  • в поле "Заголовок" напишите кратко свою проблему; - более кратко не могу себе представить
  • в поле для сообщений более подробно опишите возникшую проблему (можно указать, после чего именно возникли проблемы); - тут сложнее. Вероятнее всего атака произведена через открытый RDP
  • вложите в сообщение логи, собранные Farbar Recovery Scan Tool, и ранее подготовленный архив с зашифрованными файлами и запиской о выкупе. - вложил
Изменено пользователем hanataro
Ссылка на сообщение
Поделиться на другие сайты
16 часов назад, hanataro сказал:

но сам, похоже не успел зашифроваться

Упакуйте его с паролем, выложите на файлообменник и ссылку на скачивание передайте через систему личных сообщений.

Ссылка на сообщение
Поделиться на другие сайты
22.09.2021 в 01:27, thyrex сказал:

Увы, с расшифровкой помочь не сможем.

 

Чистка мусора в системе нужна или система под переустановку?

возражать не будем. переустановка может оказаться сложнее

Ссылка на сообщение
Поделиться на другие сайты

К сожалению, сэмпл уже не нужен. Подтверждаю

22.09.2021 в 01:27, thyrex сказал:

с расшифровкой помочь не сможем

 

Что касается логов, записки с требованием выкупа можете переместить вручную куда-нибудь в одно место (на всякий случай).

Плохого не видно.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От СергейБ
      Добрый день! Столкнулись с вирусом HYDRA 4.10.2021г., заблокировал компьютер, антивирус стоял лицензионный Kaspersky Endpoint Security 11 для Windows (для рабочих станций и файловых серверов) версия keswin_11.6.0.394_ru_aes256, базы актуальные. Прошу оказать помощь в разблокировке компьютера. Прикрепляю файлы для анализа исходные/шифрованные, так же дополнительные файлы шифрованные. Пароль на архивы 1111
      Зашифрованные.7z Исходные.7z Файлы дополнительные — копия.7z
    • От Evgenii23
      Добры день!
      Все данные на сетевом диски стали вида [laxya01@aol.com][ID=24FD0737]Приложения к 0503760.xls.HYDRA нашел зараженный ПК но он после перезагрузки перестал включаться
      Файл.rar
      Проверил не включающийся ПК Kaspersky Rescue Disk нашел вируc  laxya01@aol.exe и *.bat файл
    • От Old_Angry_lame
      зашифрованы образы виртуалок и содержимое виртуалок.  
      Не  могу приложить аттач согласно инструкции. Ссылка на облако,  в архиве  два примера зашифрованых файлов, письмо-требование, отчет Farbar Recovery Scan Tool.
      https://yadi.sk/d/3xzhYr1AO850uQ
    • От Янн
      Сообщение от модератора Mark D. Pearlstone Ссылки удалены.
    • От BarakudaX777
      Вирус зашифровал все файлы. Доступ к операционной системе потерян - зашифровано все что можно. Имеются оригинальные файлы. Просим помочь в расшифровке данных файлов или подсказать как нам действовать в данной ситуации!
      Содержимое файла #FILESENCRYPTED.txt
      ATTENTION! At the moment, your system is not protected. We can fix it and restore files. To get started, send a file to decrypt trial. You can trust us after opening the test file. To restore the system write to this address:  thehydrarans@yandex.com Thehydrarans@goat.si
       
      Зашифрованные файлы.zip Оригинальные файлы.zip
      Имена файлов имеют следующий формат: [thehydrarans@yandex.com][ID=FFB3D3F6]bootmgr..HYDRA
×
×
  • Создать...