Хочу заплатить за помощь, но база keypass с паролем от Paypal тоже зашифрована
Готов оплатить помощь как-нибудь ещё
Шифровальщик работал в Windows 10 c нативной загрузкой на VHDX, зашифровал родительский диск, в том числе и файлы мультизагрузки.
Могу грузиться с внешних дисков
Starting decryption on COMPUTER at 6/6/2018 4:40:29 PM
Directory: I:\ltsb.vhd.lck
[+] File: I:\ltsb.vhd.lck\[email protected]_4D33333639352E6C 636B
[~] File can be renamed, but not decrypted. Original name: M33695.lck
[!] Files are encrypted, a key must be provided.
Decrypted 0 files
Skipped 1 files
Вижу, что файлы только переименованы.
Тем не менее, где лежала база keypass я не помню - очень давно им не пользовался ((
Соотвественно, ищется способ массового переименования зашифрованных файлов взад (Файлов очень много в очень кустистой структуре)
С меня причитается, как только смогу оплатить
Последний раз редактировалось sundmoon; 06.06.2018 в 17:03.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) sundmoon, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Шифровальщик работал в Windows 10 c нативной загрузкой на VHDX, зашифровал родительский диск, в том числе и файлы мультизагрузки.
Могу грузиться с внешних дисков
Для того, чтобы что-то запустить в больной системе, мне надо загрузить её либо из внешней мультизагрузки на свежеотформатированном диске, либо в виртуалке Hyper-V
Я вот сейчас пишу из чистой свежеустановленной десятки, больной vhdх примонтировал и жду возможных указаний.
(И да, файлы всё-таки зашифрованы, а не только переименованы. Нашёл несколько штук того, что заведомо было текстом.)
Последний раз редактировалось sundmoon; 07.06.2018 в 00:44.
Благодарю! Я в процессе расшифровки своих кустистых файловых структур на двух забитых под завязку носителях
Но мне важно максимально уточнить вектор заражения, хотя бы его дату. Прошу помощи с расследованием
Есть две гипотезы:
1) файл DoNotSleep.exe от 24 мая 2018 года, помогавший криптору когда я прервал процесс
Емнип я действительно второпях взял его из сомнительного источника и удивился нештатному поведению инсталлятора - и было это, кажется, сильно раньше.
Но я ничего не удалял из загрузок, так что после расшиифровки носителя есть шанс найти источник
Криптор "потрогал" в это время ещё полсотни драйверов, в отличие от упомянутого - подписанных Microsoft
- - - - -Добавлено - - - - -
Сообщение от thyrex
Вход через RDP и ручной запуск - вот и весь механизм. Тут даже и в автозапуск прописываться не нужно. Пароль смените от RDP
Предположение было бы вполне правдоподобным - если б у меня не был проброшен на RDP пятизначный порт
[del]В автозапуске системном и юзерском гадость тоже есть, чекаю[/del] Это зашифрованные ярлыки
- - - - -Добавлено - - - - -
Если Вы реально подозреваете RDP несмотря на.. - я могу проверить журналы больной системы.
Сотнями исчисляется количество файлов на моих носителях, названия которых остались незашифрованными, а контент по-видимости испорчен (и, судя по дате, криптор их трогал)
С этим что-нибудь можно сделать?
UPD. Для некоторых испорченных файлов я отыскал оригиналы.
Добыл заново папку с 40-минутными видео, половина которых испорчена.
Возможно, найдётся и что-нибудь полегче...
Последний раз редактировалось sundmoon; 07.06.2018 в 20:34.
Все до единого файлы README.txt с сообщениями от вымогателей прикрепите в архиве к следующему сообщению вместе с примерами нерасшифровавшихся файлов небольшого размера
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Это 9-я часть какого-то видеокурса (парные файлы mp4 и srt), у двух пар оказались незашифрованы названия, но контент зашифрован и не берётся имеющимся у меня декриптором.
Два самых больших файла (доброкачественно дешифрующихся) я удалил
Каким образом Вы предлагаете собрать все файлы?
Может быть, доверите мне самому сделать выводы из
'K:\' | Get-ChildItem -Recurse -Filter 'readme.txt' | Get-FileHash ... | Group-Object …
?
- - - - -Добавлено - - - - -
Сладких exe парочек у меня насканилось две штуки в таких папках:
K:\1\1\ и K:\1\2
Первая пара проявилась после расшифровки данным мне инструментом (видимо была зашифрована второй парой), файл DoNotSleep лежал незашифрованный в папке первой пары
Последний раз редактировалось sundmoon; 08.06.2018 в 00:41.
Или Вы выполняете просьбы в полном объеме, как Вас просят, или я тему просто закрываю. Мне надоело читать тот лишний мусор, который Вы пишете. Мне совершенно не интересно, как Вы собираетесь искать все файлы с сообщениями вымогателей. Другие пострадавшие все делают, как нужно, с первого раза.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Завтра, хорошо?
Я вне доступа, RDP не открывал пока
Файл README.txt у меня лежит в КАЖДОЙ папке тронутой вымогателем.
То есть, их многие тысячи. Вы хотите получить именно все, или только различающиеся хэшем?
Поступим следующим образом: все явно зашифрованные, но не переименованные, файлы вы копируете куда-то в отдельную папку с коротким именем из одного символа.
Все зашифрованные и переименованные файлы Вы дешифруете имеющимся ключом и проверяете, нет ли среди них проблемных. Если таковые найдутся, копируете их к остальным проблемным.
Когда закончите этот этап, сообщите и получите дальнейшие инструкции.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Ответить с цитированием
Сообщение от thyrex
