файлы зашифрованы с расширением .stn - Форум технической поддержки ESET NOD32

Сообщений: 1

Регистрация: 23.02.2017

Размещено 23.02.2017 04:26:06

Вирус зашифровал 39гб дорогих фотографий, можно ли расшифровать их? , ничего в интернете не нашел.
Вы единственная надежда. На компьютере переустанавливалась ОС.
Загружу образцы файлов

Прикрепленные файлы

WinRAR archive.rar (3.8 МБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 23.02.2017 05:37:24

https://www.bleepingcomputer.com/forums/t/637811/satan-ransomware-help-support-topic-stn-extension-help-decrypt-fileshtml/

https://www.bleepingcomputer.com/news/security/new-satan-ransomware-available-through-a-ransomware-as-a-service-/

если сохранилась записка о выкупе HELP_DECRYPT_FILES.html
добавьте ее так же на форум в архиве

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 08.03.2017

Размещено 08.03.2017 14:39:17

Цитата
santy написал: https://www.bleepingcomputer.com/forums/t/637811/satan-ransomware-help-support-topic-stn-extension-help-decrypt-fileshtml/ https://www.bleepingcomputer.com/news/security/new-satan-ransomware-available-through-a-ransomware-as-a-service-/ если сохранилась записка о выкупе HELP_DECRYPT_FILES.html добавьте ее так же на форум в архиве

Цитата

santy написал:
https://www.bleepingcomputer.com/forums/t/637811/satan-ransomware-help-support-topic-stn-extension-help-decrypt-fileshtml/

https://www.bleepingcomputer.com/news/security/new-satan-ransomware-available-through-a-ransomware-as-a-service-/

если сохранилась записка о выкупе HELP_DECRYPT_FILES.html
добавьте ее так же на форум в архиве

У меня та же проблема, вот записка о выкупе

Прикрепленные файлы

0_HELP_DECRYPT_FILES.rar (7.35 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 08.03.2017 15:38:56

Цитата
Сергей Ланков написал: У меня та же проблема, вот записка о выкупе

Сергей Ланков,
добавьте образ автозапуска системы.
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 08.03.2017

Размещено 09.03.2017 14:27:23

Цитата

santy написал:

Цитата
Сергей Ланков написал: У меня та же проблема, вот записка о выкупе

Сергей Ланков,
добавьте образ автозапуска системы.
http://forum.esetnod32.ru/forum9/topic2687/

Образ

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 09.03.2017 15:07:19

По очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.9 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v388c OFFSGNSAVE zoo %SystemDrive%\USERS\LINUX\APPDATA\LOCAL\MEDIAGET2\MEDIAGET-UNINSTALLER.EXE addsgn 9252771A116AC1CC0B44554E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 14 Win32:FakeSys-BF [PUP] hide %SystemDrive%\USERS\LINUX\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE hide %SystemDrive%\PROGRAM FILES (X86)\DRIVER GENIUS\DBUPDATER.EXE ;------------------------autoscript--------------------------- chklst delvir deldirex %SystemDrive%\USERS\LINUX\APPDATA\LOCAL\MEDIAGET2 delref HTTP://OVGORSKIY.RU deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
zoo %SystemDrive%\USERS\LINUX\APPDATA\LOCAL\MEDIAGET2\MEDIAGET-UNINSTALLER.EXE
addsgn 9252771A116AC1CC0B44554E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 14 Win32:FakeSys-BF [PUP]

hide %SystemDrive%\USERS\LINUX\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\DRIVER GENIUS\DBUPDATER.EXE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\LINUX\APPDATA\LOCAL\MEDIAGET2

delref HTTP://OVGORSKIY.RU

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
если сохранился источник шифрования - вышлите в почту [email protected] в архиве, с паролем infected

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 08.03.2017

Размещено 09.03.2017 18:35:38

Цитата

santy написал:
По очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код

 
;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
zoo %SystemDrive%\USERS\LINUX\APPDATA\LOCAL\MEDIAGET2\MEDIAGET-UNINSTALLER.EXE
addsgn 9252771A116AC1CC0B44554E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 14 Win32:FakeSys-BF [PUP]

hide %SystemDrive%\USERS\LINUX\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\DRIVER GENIUS\DBUPDATER.EXE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\LINUX\APPDATA\LOCAL\MEDIAGET2

delref HTTP://OVGORSKIY.RU

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
если сохранился источник шифрования - вышлите в почту [email protected] в архиве, с паролем infected

Отправил

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 10.03.2017 05:48:07

возможно один из файликов является шифратором.
https://www.virustotal.com/en/file/68bc8b53b67d611b4aaa9bb4c963260b5a9c21389b06fce9adbee42a16a687f0/analysis/1489113952/

https://www.hybrid-analysis.com/sample/68bc8b53b67d611b4aaa9bb4c963260b5a9c21389b06fce9adbee42a16a687f0?environmentId=100

https://www.virustotal.com/en/file/85cc368d816b499fbce879357f990c0809f216df54eb1094776f7d6b96409298/analysis/

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 08.03.2017

Размещено 10.03.2017 08:41:45

Цитата
santy написал: возможно один из файликов является шифратором. https://www.virustotal.com/en/file/68bc8b53b67d611b4aaa9bb4c963260b5a9c21389b06fce9 adbee42a16a687f0/analysis/1489113952/

Вот это именно он и есть, только еще бы файлы(документы) расшифровать

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 10.03.2017 11:35:32

по расшифровке файлов, напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

файлы зашифрованы с расширением .stn , Вирус: SATANA