Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

[РАСШИФРОВАНО]Зашифрован сервер адрес вымогателей lovestoryforyou@protonmail.com

ADmitry73
 Поделиться

Рекомендуемые сообщения

ADmitry73 Новичок

ADmitry73

Опубликовано
Опубликовано

Прошу помочь расшифровать файлы сервера.

Произошло это сегодня ночью, логи FRST снял, также имеются файлы зашифрованный и оригинальный и письмо вымогателей.

Будем очень признательны за помощь, спасибо!

Ссылка на комментарий
Поделиться на другие сайты
ADmitry73 Новичок

ADmitry73

Опубликовано
  • Автор
Опубликовано

Прилагаю файлы логов FRST,  зашифрованный файл "Autoruns.zip.BLOCK" (упакован в zip) и оригинальный файл "Autoruns.zip", а также письмо от вымогателей "КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt"

 

Addition.txtПолучение информации... Autoruns.zipПолучение информации... Autoruns.zip.BLOCK.zipПолучение информации... FRST.txtПолучение информации... КАК РАСШИФРОВАТЬ ФАЙЛЫ.txtПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Поищите другую пару файлов. Размер их должен совпадать.

Ищите в резервных копиях, почте, на других ПК и т.д.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Некоторое время подождите.

 

Сначала чистим хвосты в системе, потом будет выдана расшифровка.

 

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
File: C:\ProgramData\Microsoft\DRM\Fyiroroho\Nsilo.exe
(taskeng.exe ->) () [Доступ не разрешён] C:\ProgramData\Microsoft\DRM\Fyiroroho\Nsilo.exe
C:\ProgramData\Microsoft\DRM\Fyiroroho\Nsilo.exe
Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
Startup: C:\Users\admin.KFS02\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
Startup: C:\Users\ADMIN3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
Startup: C:\Users\admind\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
Startup: C:\Users\admitry\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
Startup: C:\Users\admitry.KFS02\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
Startup: C:\Users\odmin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
Startup: C:\Users\sadmin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
Startup: C:\Users\Программист1с2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
Task: {2062DA64-3CBC-4990-835E-3CC246837161} - System32\Tasks\Microsoft\Windows\EntityFramework\NetFramework => C:\ProgramData\Microsoft\DRM\Fyiroroho\Nsilo.exe (Доступ не разрешён) <==== ВНИМАНИЕ
Task: {D21C2804-1EC8-4ECE-A258-27B318E6966D} - System32\Tasks\WindowsUpdate => C:\Program Files\Common Files\Intel\svchost.exe (Нет файла) <==== ВНИМАНИЕ
S4 IObitUnlocker; \??\E:\IObit Unlocker\IObitUnlocker.sys [X]
FirewallRules: [{5B9BFABA-0464-4B11-A4EA-62F4224C9682}] => (Allow) LPort=21
FirewallRules: [{BEC7BB6F-C31A-4C47-9173-26C61DA29EBA}] => (Allow) C:\ProgramData\Microsoft\DRM\Izanoma\NetFramework.exe => Нет файла
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Жаль, что вы дважды выполнили скрипт, хоть я просил один раз. Новый fixlog перезаписал результаты старого.

Но ладно. Прочтите личные сообщения.

Ссылка на комментарий
Поделиться на другие сайты
ADmitry73 Новичок

ADmitry73

Опубликовано
  • Автор
Опубликовано

Спасибо огромное, процесс расшифровки пошел.

Скажите, пожалуйста, у меня еще 2 сервера в таком же зашифрованном состоянии -можно ли на них делать исправление c помощью вашего скрипта + frst64 и запускать расшифровку?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Отлично!

 

  В 12.05.2022 в 14:14, ADmitry73 сказал:

c помощью вашего скрипта + frst64

Показать  

Нет, скрипт был написан только для этой системы.

Если на других нужна помощь в очистке следов, создайте для каждого отдельную тему и соберите логи Farbar.

 

Здесь в завершение:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2. 

Выполните скрипт в AVZ при наличии доступа в интернет: 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на комментарий
Поделиться на другие сайты
  • Sandor изменил название на [РАСШИФРОВАНО]Зашифрован сервер адрес вымогателей lovestoryforyou@protonmail.com

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • whoamis
      Зашифровало сервер сегодня
      Автор whoamis
      Добрый день зашифровало сервер, предположительно кто-то скачал картинку на сервере и открыл.
      Addition.txt FRST.txt 11.rar
    • sduganov
      зашифровали сервер 1С
      Автор sduganov
      Добрый день!
      поймали шифровальщика.. не смогли запустить 1с они еще и на sql
      Addition.txt FRST.txt файлызашиф.rar
    • AYu
      Зашифровали данные сервера. Расширение .griffin
      Автор AYu
      Взломали сервер, зашифровали данные, требуют выкуп. Может ктосталкивался с ним? Ведем переговоры с *****
      yFhK8sxrC0.rar
    • Andreypresnetcov
      Сервер зашифрован *QY98NM2SSD
      Автор Andreypresnetcov
      Добрый день, сервер зашифрован *QY98NM2SSD можете подсказать того кто поможет. Просят Выкуп в биткоинах.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Вадим Бутаков
      Trojan.Encoder.35534, зашифрован сервер с 1С, прошу помощи.
      Автор Вадим Бутаков
      Добрый день, прошу помощи в расшифровке, зашифрован сервер с 1С.
       
      Письмо мошенников дублирую текстом т.к. нет исходника.
       
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted
      Your decryption ID is 5-ujLaxrW7IOQ8ub6WiEirPnYu-1T8IrAYx9nJCipxY*SOPHOSANTIVIRUS
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) TOX messenger (fast and anonymous)
      https://tox.chat/download.html
      Install qtox
      Press sign up
      Create your own name
      Press plus
      Put there our tox ID:
      E9164A982410EFAEBC451C1D5629A2CBB75DBB6BCDBD6D2BA94F4D0A7B0B616F911496E469FB
      And add me/write message
      2)ICQ - @SOPHOSANTIVIRUS
      3)SKYPE - SOPHOSANTIVIRUS DECRYPTION
      Contact us soon, because those who don't have their data leaked in our press release blog and the price they'll have to pay will go up significantly.
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
      FRST.txt для касперского.rar Addition.txt
×
×
  • Создать...