Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

зашифровано с расширением *.phoenix; .phobos; Caley; .Banta; .calum; .dever; .dewar; .lks; .STEEL; .Lizard; .decrypt; . Elbie; .unique; .SHTORM; .eking , Filecoder.Phobos

RSS
 
STANISLAV KERZHENTSEV
STANISLAV KERZHENTSEV
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 30.06.2019
Размещено 30.06.2019 14:12:27
Добрый день. Поймали шифровальщика phoenix/phobos. Видимо через rdp.
Есть ли возможность расшифровать?

все файлы имеют вид  -

xxx.yyy.id[много цифр].[[email protected]].phoenix

на диске с файл с текстом:

!!! All of your files are encrypted !!!
To decrypt them send e-mail to this address: [email protected].
If we don't answer in 24h., send e-mail to this address: [email protected]
If there is no response from our mail, you can install the Jabber client and write to us in support of [email protected]

Ответы

Пред. 1 2 3
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 20.10.2023 23:05:33
Судя по образу в системе уже нет активного шифровальщика. Это Filecoder.Phobos (расширение *.Elbie)
Или образ был создан под учетной записью без прав Администратора

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
(!) Не удалось открыть ключ: [Отказано в доступе. ]

HKEY_USERS\S-1-5-21-3559245007-3873300145-2388895131-1000\Software\Microsoft\Windows\CurrentVersion\Run
(!) Не удалось открыть ключ: [Отказано в доступе. ]

(!) Не удалось открыть ключ: [Отказано в доступе. ]
HKEY_USERS\S-1-5-21-3559245007-3873300145-2388895131-1003\Software\Microsoft\Windows\CurrentVersion\Run

К сожалению, по Phobos нет расшифровки без приватного ключа.

Сделайте, пожалуйста, еще логи FRST
https://forum.esetnod32.ru/forum9/topic2798/
[ Как создать образ автозапуска? ]
 
Тимофей Синицын
Тимофей Синицын
Пользователь
Сообщений: 3
Баллов: 2
Регистрация: 19.10.2023
Размещено 21.10.2023 01:20:49
логи FRST
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 21.10.2023 05:17:02
По времени выходит шифрование было днем
2023-10-19 14:48 - 2023-10-19 14:48 - 000005462 _____ C:\Users\User\Desktop\info.hta
2023-10-19 14:48 - 2023-10-19 14:48 - 000000187 _____ C:\Users\User\Desktop\info.txt

Сэмплы шифровальщика скорее всего зачищены антивирусными сканерами.

С расшифровкой данных, к сожалению, не сможем помочь.
На текущий момент расшифровки в вирлабе нет. Сохраните важные зашифрованные документы на отдельный носитель,
возможно, в будущем, расшифровка станет возможной.
[ Как создать образ автозапуска? ]
 
Пред. 1 2 3
Читают тему