зашифровано с расширением *.phoenix; .phobos , Phobos

1
RSS
Добрый день. Поймали шифровальщика phoenix/phobos. Видимо через rdp.
Есть ли возможность расшифровать?

все файлы имеют вид  -

xxx.yyy.id[много цифр].[batecaddric@aol.com].phoenix

на диске с файл с текстом:

!!! All of your files are encrypted !!!
To decrypt them send e-mail to this address: batecaddric@aol.com.
If we don't answer in 24h., send e-mail to this address: uttensherman@aol.com
If there is no response from our mail, you can install the Jabber client and write to us in support of phobos_helper@xmpp.jp
@STANISLAV KERZHENTSEV,
по лечению системы.
судя по логу cureit
C:\users\администратор\appdata\roaming\microsoft\windows\start­ menu\programs\startup\batecaddric.exe - infected with Win32.HLLP.Neshta
у вас ко всему прочему еще было заражение файловым вирусом Neshta
проверьте системный диск полностью еще раз с помощью cureit
(чтобы убедиться, что все найденные зараженные файлы были обезврежены)
лог проверки добавьте на форум.

по расшифровке файлов:
добавьте на форум записку о выкупе и пару зашифрованных файлов в архиве
+
сделайте проверку на http://virustotal.com этого файла
Цитата
C:\Users\Администратор\AppData\Local\Temp\23\3582-490\batecaddric.exe - quarantined, reboot required
C:\programdata\microsoft\windows\start menu\programs\startup\batecaddric.exe - quarantined
C:\users\администратор\appdata\local\batecaddric.exe - quarantined
C:\users\администратор\appdata\roaming\microsoft\windows\start­ menu\programs\startup\batecaddric.exe - quarantined
файл должен остаться в карантине cureit
скорее всего это файл шифратора, просто был заражен после запуска еще и neshta
Изначальная записка выше, далее пришел такой ответ:

Decoding Files 0,7 btc tommorow 0,9 btc - 1 PC =From 3 PC-price negotiable pay in Bitcoin (BTC) translation at the expense of Bitcoin 33PeMvvFuRvy5FUdcB3jwJoWHKfkmf3AqA
Buy Bitcoin here https://localbitcoins.com or https://www.buybitcoinworldwide.com/find-exchange/ or https://www.coinbase.com or https://www.xmlgold.eu or any other exchanger or write to Google how to buy Bitcoin in your country?
in order to guarantee the availability of our key we can decrypt one file for free the size of the files <1 mb, doc.docx.xls.xlsx.pdf.jpg.bmp.txt file format other formats will not be free decryption after payment you will receive a program how many computers do you have encrypted ?
what country are you from ?

each decryption key is worth the money. no money, no transcript

we also offer service to you. full of advice for protecting against attacks? - the price of 0.1 BTC and remember our work is very hard. and it requires a lot of time and costs.

If there is no response from our mail, you can install the Jabber client and write to us in support of phobos_helper@xmpp.jp or phobos_helper@exploit.im

Приложил 2 закодированных и 2 оригинальных файла.

Файл из карантина  на Virus total отправил.
Что дальше?
@STANISLAV KERZHENTSEV,
добавьте линк проверки файлов на virustotal.com
https://www.virustotal.com/gui/file/a2a4bdcec36d216fd92b9c4d784f0db11929ccd59f93713­b0c51d58a8e51cd1b...
судя по детекту на VT исполняемый файл заражен файловым вирусом neshta

попробуйте загрузить этот файл для анализа на
https://www.hybrid-analysis.com/
разрешите общий доступ к этому файлу
-------
по phobos, к сожалению, в вирлабах на текущий момент расшифровки нет.
восстановление документов возможно только из резервных копий.
https://www.hybrid-analysis.com/sample/2ad9911e932291547af58d0cb504b4fffd861ba819746908f­5adf08fb9484...

готово.
функция шифрования не обнаружена в данном файле, хотя имя файла связано с именем почты злоумышленников batecaddric@aol.com
1
Читают тему (гостей: 2)