Перейти к содержанию
Где отпразднуем 16 лет клуба? На острове!
Задай вопрос Александру Горубнову!
Как попасть в «Лабораторию Касперского» за 1 день? Очень просто.

Словили "вирус-шифровщик" на этой недели. Самим разобраться не получается.

Streak_Striker
 Share Подписчики 2

Рекомендуемые сообщения

Streak_Striker

Streak_Striker 0

Опубликовано
Опубликовано

Добрый день. Меня зовут Игорь, с компании "Фландерр". На этой недели предположительно в понедельник, один из пользователей словил вирус путем вложенного архива, после разорхивации скорее всего подрубился exe файл, который был скрыт в архиве до разорхивации, и пользователю зашифровало весь компьютер, а так же т.к. он имел доступ к папке весом более 1тб, то и её тоже затронуло, и так же зашифровало. Ниже прекреплю несколько файлов что были зашифрованы. Очень похоже на готовый софт HYDRA, если вам об этом что-то известно. Текущими декриптерами не получилось восстановить файлы.. к сожалению. Ожидаем с большим энтузиазмом от Вас ответа. 
P.M.
К сожалению записку с целью выкупа сам открыть не имею возможности, так как скорее всего процесс запустится уже на этом с которого Вам пишу. Так как тот компьютер на котором повреждены файлы, в данный момент выключен и диски сняты. 
P.M.M.
Не получается приложить файлы в тексте этого письма, с вашего позволения, сделаю это постом ниже.
 

Ссылка на сообщение
Поделиться на другие сайты
Streak_Striker

Streak_Striker 0

Опубликовано
  • Автор
Опубликовано
29 минут назад, Sandor сказал:

Здравствуйте!

 

К сожалению, это Crylock 2.0.0.0 и расшифровки нет.

Шансов, что для нас напишут декриптер тоже нету?). Эх ;_______;

31 минуту назад, Sandor сказал:

Здравствуйте!

 

К сожалению, это Crylock 2.0.0.0 и расшифровки нет.

Просто видел вы вот этому человеку ранее помогали: Помощь с очисткой от шифровальщика crylock 2.0.0.0 - Помощь в борьбе с шифровальщиками-вымогателями - Kaspersky Club | Клуб «Лаборатории Касперского»

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 991

Опубликовано
Опубликовано
24 минуты назад, Streak_Striker сказал:

вы вот этому человеку ранее помогали

Да, помогал очистить систему от следов вымогателя. Но не с расшифровкой файлов.

 

2 часа назад, Streak_Striker сказал:

компьютер на котором повреждены файлы, в данный момент выключен и диски сняты.

Соответственно я это понял, что пострадавшую систему использовать не будете. Вы ведь логи FRST собирали не на том компьютере, где файлы зашифровались, верно?

Ссылка на сообщение
Поделиться на другие сайты
Streak_Striker

Streak_Striker 0

Опубликовано
  • Автор
Опубликовано
3 минуты назад, Sandor сказал:

Да, помогал очистить систему от следов вымогателя. Но не с расшифровкой файлов.

 

Соответственно я это понял, что пострадавшую систему использовать не будете. Вы ведь логи FRST собирали не на том компьютере, где файлы зашифровались, верно?

Не, это я делал на чистом пк. Кстати деятельность этой улитки прекращается сразу после исполнения процедуры "зарази всё до куда руки дотянуться"? Затем убивает себя и дропает следы из системы? Правильно же понял. А поврежденные файлы придется тоже дропнуть, верно?) Врятли в скором времени команда разработает новый декриптер по этому алгоритму.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 991

Опубликовано
Опубликовано
4 минуты назад, Streak_Striker сказал:

это я делал на чистом пк

Тем более такие логи бесполезны.

 

5 минут назад, Streak_Striker сказал:

"зарази всё до куда руки дотянуться"? Затем убивает себя и дропает следы из системы?

Да, примерно так.

 

5 минут назад, Streak_Striker сказал:

в скором времени команда разработает новый декриптер

Без приватного ключа - нет. Ключ либо может быть изъят после поимки злодеев, либо они сами его выставят в общий доступ (хоть и очень редко, но такое случается).

Ссылка на сообщение
Поделиться на другие сайты
Streak_Striker

Streak_Striker 0

Опубликовано
  • Автор
Опубликовано
Только что, Sandor сказал:

Тем более такие логи бесполезны.

 

Да, примерно так.

 

Без приватного ключа - нет. Ключ либо может быть изъят после поимки злодеев, либо они сами его выставят в общий доступ (хоть и очень редко, но такое случается).

Я всё понял, спасибо хаха)) Хорошего дня.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Less
      Зашифрованы файлы Trojan-Ransom.Win32.Cryakl
      От Less
      Добрый день!
       
      Требуется помощь в расшифровке файлов.
       
      Вирус пробрался через RDP соединение, создал нового пользователя, администратора видимо заблокировал, т.к. в его учетную запись зайти не удается.
       
      Addition.txt FRST.txt Вирус и примеры файлов.rar
    • Алексейtime
      [hopeandhonest@smime.ninja].[49F88538-0B6E27CB]
      От Алексейtime
      Доброе время суток. Вчера зашифровался большой объём данных на файлообменнике. Подскажите пожалуйста есть ли возможность восстановить данные, если система не windows?
      ОС Платформы: FreeBSD 12.2-RELEASE-p7 #0 r369900M: Sun May 30 01:42:50 CEST 2021
      Версия: 12.2.0.4 - Ornithopter (сборка 8458)
      Соответственно программу Farbar Recovery Scan Tool для собора логов запустить не могу. В архиве прикрепил два зашифрованных файла, how_to_decrypt.hta файл и скрин описания системы.
      Поскольку это файлообменник доступы были открыты по всем версиям SMB.
      Не понятно каким образом был запущен вирус, если с самого файлообменника нет возможности выполнить исполняемые файлы. Есть ли смысл начинать диалог с вымогателями? Заранее спасибо за помощь
      Зашифрованные файлы.rar
    • Екатерина Зуб
      HELP!!! hopeandhonest@smime.ninja шифрованные файлы
      От Екатерина Зуб
      Добрый день!
      Были зашифрованы файлы на компьютера в локальной сети. Шифровальщик неизвестен, тело вируса найдено не было. 
      В архиве записка с требованиями, шифрованные файлы, файл-оригинал и его шифрованная версия. 
      Логи взяты с незараженного ПК
       
      Возможно ли расшифровать зашифрованные файлы?
      !файлы.rar FRST.txt Addition.txt
    • 9onv
      Помощь в расшифровке файлов от вируса шифровальщика
      От 9onv
      Уважаемые коллеги, просьба рассмотреть возможность расшифровки файлов, зашифрованных вирусом шифровальщиком. Во вложении прикладываю логи системы, один из зашифрованных файлов и отчёт по результатам сканирования на вирусы с их хэшами. Заранее спасибо
      Logs Files Virus.rar
    • rashid47
      Зашифровало файлы, остались некоторые оригинальные файлы
      От rashid47
      Добрый день. Зашифровало все файлы на сервере, но есть такие-же файлы не зашифрованные. Есть какие-то варианты расшифровки ?
      file.rar
×
×
  • Создать...