зашифровано с расширением *.phoenix; .phobos; Caley; .Banta; .calum; .dever; .dewar; .lks; .STEEL; .Lizard; .decrypt; . Elbie; .unique; .SHTORM; .eking , Filecoder.Phobos

RSS

Сообщений: 4

Баллов: 2

Регистрация: 30.06.2019

Размещено 30.06.2019 14:12:27

Добрый день. Поймали шифровальщика phoenix/phobos. Видимо через rdp.
Есть ли возможность расшифровать?

все файлы имеют вид -

xxx.yyy.id[много цифр].[[email protected]].phoenix

на диске с файл с текстом:

!!! All of your files are encrypted !!!
To decrypt them send e-mail to this address: [email protected].
If we don't answer in 24h., send e-mail to this address: [email protected]
If there is no response from our mail, you can install the Jabber client and write to us in support of [email protected]

Прикрепленные файлы

cureit.log (2.38 МБ)
NIKOSIASRV2_2019-06-30_13-54-34_v4.1.6.7z (508.49 КБ)

Ответы

Пред. 1 2 3

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.10.2023 23:05:33

Судя по образу в системе уже нет активного шифровальщика. Это Filecoder.Phobos (расширение *.Elbie)
Или образ был создан под учетной записью без прав Администратора

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
(!) Не удалось открыть ключ: [Отказано в доступе. ]

HKEY_USERS\S-1-5-21-3559245007-3873300145-2388895131-1000\Software\Microsoft\Windows\CurrentVersion\Run
(!) Не удалось открыть ключ: [Отказано в доступе. ]

(!) Не удалось открыть ключ: [Отказано в доступе. ]
HKEY_USERS\S-1-5-21-3559245007-3873300145-2388895131-1003\Software\Microsoft\Windows\CurrentVersion\Run

К сожалению, по Phobos нет расшифровки без приватного ключа.

Сделайте, пожалуйста, еще логи FRST
https://forum.esetnod32.ru/forum9/topic2798/

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 2

Регистрация: 19.10.2023

Размещено 21.10.2023 01:20:49

логи FRST

Прикрепленные файлы

FRST.txt (448.93 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.10.2023 05:17:02

По времени выходит шифрование было днем
2023-10-19 14:48 - 2023-10-19 14:48 - 000005462 _____ C:\Users\User\Desktop\info.hta
2023-10-19 14:48 - 2023-10-19 14:48 - 000000187 _____ C:\Users\User\Desktop\info.txt

Сэмплы шифровальщика скорее всего зачищены антивирусными сканерами.

С расшифровкой данных, к сожалению, не сможем помочь.
На текущий момент расшифровки в вирлабе нет. Сохраните важные зашифрованные документы на отдельный носитель,
возможно, в будущем, расшифровка станет возможной.

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 14.06.2024

Размещено 14.06.2024 16:19:38

Подхватили шифратора
можно ли восстановить файлы после поражения системы вирусом-шифровальщиком с расширением .Elbie
Сам дешифратор вроде как существует, нам смогли открыть один файлик... но просят в два раза дороже чем сами мошенники (довольно впечатляющие суммы)

Сообщений: 5270

Баллов: 8441

Регистрация: 12.05.2010

Размещено 17.06.2024 16:06:29

Судя по всему, Файлы зашифрованы с помощью шифровальщика Phobos, к сожалению, на текущий момент расшифровка без приватного ключа невозможна. Рекомендуем вам сохранить важные зашифрованные документы на случай, если расшифровка станет возможной в будущем. Зачастую, кроме шифровальщика, система бывает заражена майнерами и другим вредоносным ПО. Уточните, требуется ли вам помощь в очистке системы?

ESET Technical Support

Пред. 1 2 3