Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

Файлы зашифрованы с расширением .Lazarus; Lazarus+; .Angus; .Skynet; .Kronos; .Void; .mifr; .onion; Spade; crypter; .RTX; .ADA; .gts; .help; .Iwan; .killer; .lama; .professor; .zxc; solo; .PAY; MrWhite; .rar; RYKCRYPT; .MRN , VoidCrypt/Filecoder.Ouroboros

RSS
 
Анатолий Масанов
Анатолий Масанов
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 04.06.2020
Размещено 04.06.2020 08:36:29
Добрый день. подскажите сталкивался кто то с шифровальщиком VOID.Файлы зашифрованы по типу 1.cer.[[email protected]][ID-CJ32FSXI7OR4QA8].Void

Ответы

Пред. 1 2 3 След.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.12.2020 16:27:38
Цитата
nikvpro nik написал:
Да, LiteManager сам устанавливал
в этом файле что у вас?
2020-12-11 18:52 - 2020-12-11 18:52 - 000524474 _____ C:\Users\Anastasia\Desktop\[email protected]
если тело шифратора, тоже вышлите с паролем infected в почту [email protected]
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.12.2020 16:35:48
по очистке системы:
пока выполните следующее:

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Код
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
2020-12-11 07:19 - 2020-12-11 07:37 - 000002398 _____ C:\Windows\Tasks\!INFO.HTA
2020-12-11 07:19 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Public\Downloads\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Все пользователи\Documents\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Все пользователи\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Public\Documents\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Public\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\Downloads\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\Documents\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\Desktop\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\AppData\Roaming\Microsoft\Windows\Start Menu\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\AppData\Roaming\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\AppData\LocalLow\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\AppData\Local\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\AppData\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\ProgramData\Documents\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\ProgramData\!INFO.HTA
2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ C:\Windows\!INFO.HTA
2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ C:\Users\!INFO.HTA
2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ C:\Program Files\Common Files\!INFO.HTA
2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ C:\Program Files\!INFO.HTA
2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ C:\Program Files (x86)\!INFO.HTA
2020-12-11 07:38 - 2020-12-11 07:38 - 000002398 _____ C:\Windows\SysWOW64\Drivers\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Windows\SysWOW64\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Windows\Minidump\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Все пользователи\Desktop\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Public\Desktop\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Elena\Desktop\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Elena\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\Downloads\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\Documents\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\Desktop\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\AppData\Roaming\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\AppData\Local\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\AppData\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\Downloads\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\Documents\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\Desktop\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\AppData\Roaming\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\AppData\Local\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\AppData\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\Downloads\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\Documents\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\Desktop\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\AppData\Roaming\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\AppData\LocalLow\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\AppData\Local\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\AppData\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\ProgramData\Microsoft\Windows\Start Menu\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\ProgramData\Desktop\!INFO.HTA
2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ () C:\Program Files\!INFO.HTA
2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ () C:\Program Files (x86)\!INFO.HTA
2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ () C:\Program Files\Common Files\!INFO.HTA
2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ () C:\Program Files (x86)\Common Files\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ () C:\Users\Anastasia\AppData\Roaming\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ () C:\Users\Anastasia\AppData\Roaming\Microsoft\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ () C:\Users\Anastasia\AppData\Local\!INFO.HTA
[ Как создать образ автозапуска? ]
 
nikvpro nik
nikvpro nik
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 14.12.2020
Размещено 14.12.2020 18:13:49
Выкладываю логи ESETlogcollector
Цитата
в этом файле что у вас?
2020-12-11 18:52 - 2020-12-11 18:52 - 000524474 _____ C:\Users\Anastasia\Desktop\[email protected]
если тело шифратора, тоже вышлите с паролем infected в почту [email protected]
да, выслал
 
nikvpro nik
nikvpro nik
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 14.12.2020
Размещено 14.12.2020 18:17:09
Цитата
santy написал:
fixlist.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.12.2020 16:25:59
ответил в почту по журналам
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.12.2020 17:47:26
➤ Оригинальный дешифровщик без закрытого RSA ключа бесполезен.
➤ Используется RSA-2048, потому взломать ключ не получится. По данным исследователя Майкла Джиллеспи, возможно, что вредонос отправляет ключ на свой сервер, если пострадавшие фиксировали сетевой трафик во время заражения, то ключ может быть перехвачен. Если трафик не фиксировался, то закрытый ключ RSA не получить.

Файлы, связанные с этим Ransomware:
Decryption-Info.HTA - название файла с требованием выкупа
IDo.txt
pubkey.txt
<random>.exe - случайное название вредоносного файла
[email protected] - файл из примера, представленного в анализе.

Наличие оригинального дешифровщика не обеспечивает расшифровку файлов, т.к. требуется RSA-ключ, который есть только у вымогателей.

https://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html
[ Как создать образ автозапуска? ]
 
nikvpro nik
nikvpro nik
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 14.12.2020
Размещено 16.12.2020 22:04:51
Прислали дешифровщик, файл с ключом, вбиваю данные как они просили в их дешифровщик, но ничего не происходит. Есть предположения, как заставить их дешифровщик расшифровать файлы?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.12.2020 16:33:42
Цитата
nikvpro nik написал:
Прислали дешифровщик, файл с ключом, вбиваю данные как они просили в их дешифровщик, но ничего не происходит. Есть предположения, как заставить их дешифровщик расшифровать файлы?

если возможно, пришлите дешифратор и файл с ключами + инструкцию, если есть такая - все в архиве с паролем infected в почту [email protected]
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.12.2020 12:41:33
проверьте соответствие между идентификатором rsa ключа (наименование) и идентификторами зашифрованных файлов для разных компьютеров.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.01.2021 12:58:29
ключ сработал и все файлы, которые вы переслали были расшифрованы.
void_decrypt.jpg (128.35 КБ)
[ Как создать образ автозапуска? ]
 
Пред. 1 2 3 След.
Читают тему