Перейти к содержанию

Словили "вирус-шифровщик" на этой недели. Самим разобраться не получается.

Streak_Striker
 Share

Рекомендуемые сообщения

Streak_Striker Новичок

Streak_Striker

Опубликовано
Опубликовано

Добрый день. Меня зовут Игорь, с компании "Фландерр". На этой недели предположительно в понедельник, один из пользователей словил вирус путем вложенного архива, после разорхивации скорее всего подрубился exe файл, который был скрыт в архиве до разорхивации, и пользователю зашифровало весь компьютер, а так же т.к. он имел доступ к папке весом более 1тб, то и её тоже затронуло, и так же зашифровало. Ниже прекреплю несколько файлов что были зашифрованы. Очень похоже на готовый софт HYDRA, если вам об этом что-то известно. Текущими декриптерами не получилось восстановить файлы.. к сожалению. Ожидаем с большим энтузиазмом от Вас ответа. 
P.M.
К сожалению записку с целью выкупа сам открыть не имею возможности, так как скорее всего процесс запустится уже на этом с которого Вам пишу. Так как тот компьютер на котором повреждены файлы, в данный момент выключен и диски сняты. 
P.M.M.
Не получается приложить файлы в тексте этого письма, с вашего позволения, сделаю это постом ниже.
 

Ссылка на комментарий
Поделиться на другие сайты
Streak_Striker Новичок

Streak_Striker

Опубликовано
  • Автор
Опубликовано
29 минут назад, Sandor сказал:

Здравствуйте!

 

К сожалению, это Crylock 2.0.0.0 и расшифровки нет.

Шансов, что для нас напишут декриптер тоже нету?). Эх ;_______;

31 минуту назад, Sandor сказал:

Здравствуйте!

 

К сожалению, это Crylock 2.0.0.0 и расшифровки нет.

Просто видел вы вот этому человеку ранее помогали: Помощь с очисткой от шифровальщика crylock 2.0.0.0 - Помощь в борьбе с шифровальщиками-вымогателями - Kaspersky Club | Клуб «Лаборатории Касперского»

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
24 минуты назад, Streak_Striker сказал:

вы вот этому человеку ранее помогали

Да, помогал очистить систему от следов вымогателя. Но не с расшифровкой файлов.

 

2 часа назад, Streak_Striker сказал:

компьютер на котором повреждены файлы, в данный момент выключен и диски сняты.

Соответственно я это понял, что пострадавшую систему использовать не будете. Вы ведь логи FRST собирали не на том компьютере, где файлы зашифровались, верно?

Ссылка на комментарий
Поделиться на другие сайты
Streak_Striker Новичок

Streak_Striker

Опубликовано
  • Автор
Опубликовано
3 минуты назад, Sandor сказал:

Да, помогал очистить систему от следов вымогателя. Но не с расшифровкой файлов.

 

Соответственно я это понял, что пострадавшую систему использовать не будете. Вы ведь логи FRST собирали не на том компьютере, где файлы зашифровались, верно?

Не, это я делал на чистом пк. Кстати деятельность этой улитки прекращается сразу после исполнения процедуры "зарази всё до куда руки дотянуться"? Затем убивает себя и дропает следы из системы? Правильно же понял. А поврежденные файлы придется тоже дропнуть, верно?) Врятли в скором времени команда разработает новый декриптер по этому алгоритму.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
4 минуты назад, Streak_Striker сказал:

это я делал на чистом пк

Тем более такие логи бесполезны.

 

5 минут назад, Streak_Striker сказал:

"зарази всё до куда руки дотянуться"? Затем убивает себя и дропает следы из системы?

Да, примерно так.

 

5 минут назад, Streak_Striker сказал:

в скором времени команда разработает новый декриптер

Без приватного ключа - нет. Ключ либо может быть изъят после поимки злодеев, либо они сами его выставят в общий доступ (хоть и очень редко, но такое случается).

Ссылка на комментарий
Поделиться на другие сайты
Streak_Striker Новичок

Streak_Striker

Опубликовано
  • Автор
Опубликовано
Только что, Sandor сказал:

Тем более такие логи бесполезны.

 

Да, примерно так.

 

Без приватного ключа - нет. Ключ либо может быть изъят после поимки злодеев, либо они сами его выставят в общий доступ (хоть и очень редко, но такое случается).

Я всё понял, спасибо хаха)) Хорошего дня.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • iaoioa
      вирус найден, но удалить его не получается
      От iaoioa
      Всем день добрый. Не понимаю, что делать: обнаружено несколько лишних файлов после сканирования, но как их удалить неясно. Если я захожу по пути, который указал антивирус, то там этих файлов у меня нет, даже если показать скрытые элементы. Буду рад любой помощи
    • IvanMel
      [РЕШЕНО] Само воспроизводимый вирус майнер CPU XMrig
      От IvanMel
      Где то в начале января 2025 подцепил майнер cpu. Путем нахождения процесса через процесс хакер, по классике при запуске любого мониторинга по типу диспетчера основной процесс майнера тухнет и теряется из процессов, но осставляет за собой  левый процес updater, по нему вычислил где лежит зараза. Маскируется отовсюду либо за updater либо за edge браузером. Путем разных манипуляций пробовал чистить его майнер clean прогами, очисткой левых задач в винде, через CCleaner автозапуски и задачи, чистил реестр на сколько смог, через утилиты. Проблема решается на неделю, а именно до среды, в среду он как ни в чем не было восстанавливается отовсюду. Последняя надежда этот форум, не очень хочется ребутать винду. Где обитает:
      1 - в скрытой папке C:\Users\cinem\AppData\Local\Microsoft\Edge\System, папку невозможно увидеть, только перейти через строку адреса проводника;
      2 - C:\Users\cinem\AppData\Roaming\driverUpdate тоже в такой же скрытой папке, ну уверен что это тоже от этого вируса но утилита его нашла и пометила; 
      3 - в планировщике задач;
      4 - в установленных прогах второй edge, находится только через ccleaner; 5 - в Ccleanere в запуске тоже есть от edge какой то автозапуск.
      Через утилиту находит только в безопасном режиме по обоим путям файлы (1 и 2 пункт выше) но при чистке в первой папке не удаляет все файлы, а только лишь один, оставшийся файлы в папке удалил вручную. Из найденных вирусов на скрине - онлайн фиксы для игры, dpi очевидно тоже считается вирусом, но этим программам уже много месяцев и они работают нормально, ну и процесс хакер это тот же диспетчер задач.
      Логи в архиве. 
       
      CollectionLog-2025.02.19-15.12.zip
    • sneg_LA
      [РЕШЕНО] Проверила мой комп на вирусы и обнаружила вот такой вирус с названием NET.MALWARE.URL. удалить не получается.
      От sneg_LA
      Добрый день. Скачивала торрент файл и поймала какую - то ерунду которая значительно снизила работоспособность ноутбука. Появилась эта проблема  дня 2 назад. Буду признательна, если вы сможете помочь избавиться от этого.
      Логи прекрипила
      Desktop.zip
      HiJackThis.log
    • SuPeR_1
      Подозрение на майнер
      От SuPeR_1
      Когда играл заметил что ФПС низкий почему то, решил быстро клавишами Ctrl+Shift+Esc диспетчер задач и ЦП со 100% резко падал до дна, и не надо как в прошлый раз писать что диспетчер задач не означает что есть вирус-майнер-троян, у меня ведь и ФПС низкий, раньше в Minecraft были 100-200 ФПС, сейчас 60 и даже меньше. Провёл сканером Dr web и логи собрал. Пол года назад тоже тут обращался, помогли, надеюсь и в этот раз помогут и буду теперь все файлы проверять онлайн-сканером
      CollectionLog-2025.02.23-15.08.zip
    • SDDdo
      [РЕШЕНО] Словил вирус/майнер
      От SDDdo
      Здравствуйте. 20.09.2024 был скачал microsoft office, но вместо установки, я получил вирус. Уже использовал и Malwarebytes, и kaspersky virus removal tool, и rkill, но проблема все еще присутствует. Замечаю я это по наличию то появляющегося, то исчезающего процесса в диспетчере задач под названием "autoit v3 script". Также не могу сделать скриншот диспетчера задач и редактора реестра. Редактор реестра закрывается практически сразу после открытия.
      Помимо логов прикрепляю файлы полученные с помощью Farbar Recovery Scan Tool 
      CollectionLog-2024.09.21-14.47.zip Addition.txt FRST.txt
×
×
  • Создать...