Voidcrypt , VoidCrypt

RSS
Добрый день. подскажите сталкивался кто то с шифровальщиком VOID.Файлы зашифрованы по типу 1.cer.[decoderma@tutanota.com][ID-CJ32FSXI7OR4QA8].Void

Ответы

Цитата
nikvpro nik написал:
Да, LiteManager сам устанавливал
в этом файле что у вас?
2020-12-11 18:52 - 2020-12-11 18:52 - 000524474 _____ C:\Users\Anastasia\Desktop\Hiden_pro@aol.com.rar
если тело шифратора, тоже вышлите с паролем infected в почту safety@chklst.ru
по очистке системы:
пока выполните следующее:

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Код
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
2020-12-11 07:19 - 2020-12-11 07:37 - 000002398 _____ C:\Windows\Tasks\!INFO.HTA
2020-12-11 07:19 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Public\Downloads\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Все пользователи\Documents\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Все пользователи\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Public\Documents\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Public\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\Downloads\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\Documents\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\Desktop\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\AppData\Roaming\Microsoft\Windows\Start Menu\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\AppData\Roaming\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\AppData\LocalLow\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\AppData\Local\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\AppData\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\ProgramData\Documents\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\ProgramData\!INFO.HTA
2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ C:\Windows\!INFO.HTA
2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ C:\Users\!INFO.HTA
2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ C:\Program Files\Common Files\!INFO.HTA
2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ C:\Program Files\!INFO.HTA
2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ C:\Program Files (x86)\!INFO.HTA
2020-12-11 07:38 - 2020-12-11 07:38 - 000002398 _____ C:\Windows\SysWOW64\Drivers\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Windows\SysWOW64\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Windows\Minidump\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Все пользователи\Desktop\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Public\Desktop\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Elena\Desktop\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Elena\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\Downloads\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\Documents\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\Desktop\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\AppData\Roaming\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\AppData\Local\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\AppData\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\Downloads\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\Documents\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\Desktop\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\AppData\Roaming\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\AppData\Local\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\AppData\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\Downloads\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\Documents\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\Desktop\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\AppData\Roaming\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\AppData\LocalLow\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\AppData\Local\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\AppData\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\ProgramData\Microsoft\Windows\Start Menu\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\ProgramData\Desktop\!INFO.HTA
2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ () C:\Program Files\!INFO.HTA
2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ () C:\Program Files (x86)\!INFO.HTA
2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ () C:\Program Files\Common Files\!INFO.HTA
2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ () C:\Program Files (x86)\Common Files\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ () C:\Users\Anastasia\AppData\Roaming\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ () C:\Users\Anastasia\AppData\Roaming\Microsoft\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ () C:\Users\Anastasia\AppData\Local\!INFO.HTA
Выкладываю логи ESETlogcollector
Цитата
в этом файле что у вас?
2020-12-11 18:52 - 2020-12-11 18:52 - 000524474 _____ C:\Users\Anastasia\Desktop\Hiden_pro@aol.com.rar
если тело шифратора, тоже вышлите с паролем infected в почту safety@chklst.ru
да, выслал
Цитата
santy написал:
fixlist.txt
ответил в почту по журналам
➤ Оригинальный дешифровщик без закрытого RSA ключа бесполезен.
➤ Используется RSA-2048, потому взломать ключ не получится. По данным исследователя Майкла Джиллеспи, возможно, что вредонос отправляет ключ на свой сервер, если пострадавшие фиксировали сетевой трафик во время заражения, то ключ может быть перехвачен. Если трафик не фиксировался, то закрытый ключ RSA не получить.

Файлы, связанные с этим Ransomware:
Decryption-Info.HTA - название файла с требованием выкупа
IDo.txt
pubkey.txt
<random>.exe - случайное название вредоносного файла
stevenxx134@gmail.com.exe - файл из примера, представленного в анализе.

Наличие оригинального дешифровщика не обеспечивает расшифровку файлов, т.к. требуется RSA-ключ, который есть только у вымогателей.

https://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html
Прислали дешифровщик, файл с ключом, вбиваю данные как они просили в их дешифровщик, но ничего не происходит. Есть предположения, как заставить их дешифровщик расшифровать файлы?
Цитата
nikvpro nik написал:
Прислали дешифровщик, файл с ключом, вбиваю данные как они просили в их дешифровщик, но ничего не происходит. Есть предположения, как заставить их дешифровщик расшифровать файлы?

если возможно, пришлите дешифратор и файл с ключами + инструкцию, если есть такая - все в архиве с паролем infected в почту safety@chklst.ru
проверьте соответствие между идентификатором rsa ключа (наименование) и идентификторами зашифрованных файлов для разных компьютеров.
ключ сработал и все файлы, которые вы переслали были расшифрованы.
void_decrypt.jpg (128.35 КБ)
Читают тему (гостей: 1)