Voidcrypt - Форум технической поддержки ESET NOD32

Сообщений: 17435

Баллов: 13948

Регистрация: 16.03.2010

Размещено 14.12.2020 16:27:38

Цитата
nikvpro nik написал: Да, LiteManager сам устанавливал

в этом файле что у вас?
2020-12-11 18:52 - 2020-12-11 18:52 - 000524474 _____ C:\Users\Anastasia\Desktop\Hiden_pro@aol.com.rar
если тело шифратора, тоже вышлите с паролем infected в почту safety@chklst.ru

[ Как создать образ автозапуска? ]

Сообщений: 17435

Баллов: 13948

Регистрация: 16.03.2010

Размещено 14.12.2020 16:35:48

по очистке системы:
пока выполните следующее:

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION 2020-12-11 07:19 - 2020-12-11 07:37 - 000002398 _____ C:\Windows\Tasks\!INFO.HTA 2020-12-11 07:19 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Public\Downloads\!INFO.HTA 2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Все пользователи\Documents\!INFO.HTA 2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Все пользователи\!INFO.HTA 2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Public\Documents\!INFO.HTA 2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Public\!INFO.HTA 2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\Downloads\!INFO.HTA 2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\Documents\!INFO.HTA 2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\Desktop\!INFO.HTA 2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!INFO.HTA 2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\AppData\Roaming\Microsoft\Windows\Start Menu\!INFO.HTA 2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\AppData\Roaming\!INFO.HTA 2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\AppData\LocalLow\!INFO.HTA 2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\AppData\Local\!INFO.HTA 2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\AppData\!INFO.HTA 2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\!INFO.HTA 2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\ProgramData\Documents\!INFO.HTA 2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\ProgramData\!INFO.HTA 2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ C:\Windows\!INFO.HTA 2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ C:\Users\!INFO.HTA 2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ C:\Program Files\Common Files\!INFO.HTA 2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ C:\Program Files\!INFO.HTA 2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ C:\Program Files (x86)\!INFO.HTA 2020-12-11 07:38 - 2020-12-11 07:38 - 000002398 _____ C:\Windows\SysWOW64\Drivers\!INFO.HTA 2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Windows\SysWOW64\!INFO.HTA 2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Windows\Minidump\!INFO.HTA 2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Все пользователи\Desktop\!INFO.HTA 2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Public\Desktop\!INFO.HTA 2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Elena\Desktop\!INFO.HTA 2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Elena\!INFO.HTA 2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\Downloads\!INFO.HTA 2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\Documents\!INFO.HTA 2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\Desktop\!INFO.HTA 2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!INFO.HTA 2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\!INFO.HTA 2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\AppData\Roaming\!INFO.HTA 2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\AppData\Local\!INFO.HTA 2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\AppData\!INFO.HTA 2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\!INFO.HTA 2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\Downloads\!INFO.HTA 2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\Documents\!INFO.HTA 2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\Desktop\!INFO.HTA 2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!INFO.HTA 2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\!INFO.HTA 2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\AppData\Roaming\!INFO.HTA 2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\AppData\Local\!INFO.HTA 2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\AppData\!INFO.HTA 2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\!INFO.HTA 2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\Downloads\!INFO.HTA 2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\Documents\!INFO.HTA 2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\Desktop\!INFO.HTA 2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!INFO.HTA 2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\!INFO.HTA 2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\AppData\Roaming\!INFO.HTA 2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\AppData\LocalLow\!INFO.HTA 2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\AppData\Local\!INFO.HTA 2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\AppData\!INFO.HTA 2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\!INFO.HTA 2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\!INFO.HTA 2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\ProgramData\Microsoft\Windows\Start Menu\!INFO.HTA 2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\ProgramData\Desktop\!INFO.HTA 2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ () C:\Program Files\!INFO.HTA 2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ () C:\Program Files (x86)\!INFO.HTA 2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ () C:\Program Files\Common Files\!INFO.HTA 2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ () C:\Program Files (x86)\Common Files\!INFO.HTA 2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ () C:\Users\Anastasia\AppData\Roaming\!INFO.HTA 2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ () C:\Users\Anastasia\AppData\Roaming\Microsoft\!INFO.HTA 2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ () C:\Users\Anastasia\AppData\Local\!INFO.HTA

Код

HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
2020-12-11 07:19 - 2020-12-11 07:37 - 000002398 _____ C:\Windows\Tasks\!INFO.HTA
2020-12-11 07:19 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Public\Downloads\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Все пользователи\Documents\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Все пользователи\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Public\Documents\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Public\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\Downloads\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\Documents\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\Desktop\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\AppData\Roaming\Microsoft\Windows\Start Menu\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\AppData\Roaming\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\AppData\LocalLow\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\AppData\Local\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\AppData\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\ProgramData\Documents\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\ProgramData\!INFO.HTA
2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ C:\Windows\!INFO.HTA
2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ C:\Users\!INFO.HTA
2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ C:\Program Files\Common Files\!INFO.HTA
2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ C:\Program Files\!INFO.HTA
2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ C:\Program Files (x86)\!INFO.HTA
2020-12-11 07:38 - 2020-12-11 07:38 - 000002398 _____ C:\Windows\SysWOW64\Drivers\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Windows\SysWOW64\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Windows\Minidump\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Все пользователи\Desktop\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Public\Desktop\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Elena\Desktop\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Elena\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\Downloads\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\Documents\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\Desktop\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\AppData\Roaming\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\AppData\Local\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\AppData\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\Downloads\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\Documents\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\Desktop\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\AppData\Roaming\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\AppData\Local\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\AppData\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\Downloads\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\Documents\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\Desktop\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\AppData\Roaming\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\AppData\LocalLow\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\AppData\Local\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\AppData\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\ProgramData\Microsoft\Windows\Start Menu\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\ProgramData\Desktop\!INFO.HTA
2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ () C:\Program Files\!INFO.HTA
2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ () C:\Program Files (x86)\!INFO.HTA
2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ () C:\Program Files\Common Files\!INFO.HTA
2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ () C:\Program Files (x86)\Common Files\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ () C:\Users\Anastasia\AppData\Roaming\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ () C:\Users\Anastasia\AppData\Roaming\Microsoft\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ () C:\Users\Anastasia\AppData\Local\!INFO.HTA

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 14.12.2020

Размещено 14.12.2020 18:13:49

Выкладываю логи ESETlogcollector

Цитата
в этом файле что у вас? 2020-12-11 18:52 - 2020-12-11 18:52 - 000524474 _____ C:\Users\Anastasia\Desktop\Hiden_pro@aol.com.rar если тело шифратора, тоже вышлите с паролем infected в почту safety@chklst.ru

да, выслал

Прикрепленные файлы

ELC_logs.zip (5.19 МБ)

Сообщений: 5

Баллов: 2

Регистрация: 14.12.2020

Размещено 14.12.2020 18:17:09

Цитата
santy написал: fixlist.txt

Прикрепленные файлы

Fixlog.txt (11.42 КБ)

Сообщений: 17435

Баллов: 13948

Регистрация: 16.03.2010

Размещено 15.12.2020 16:25:59

ответил в почту по журналам

[ Как создать образ автозапуска? ]

Сообщений: 17435

Баллов: 13948

Регистрация: 16.03.2010

Размещено 16.12.2020 17:47:26

➤ Оригинальный дешифровщик без закрытого RSA ключа бесполезен.
➤ Используется RSA-2048, потому взломать ключ не получится. По данным исследователя Майкла Джиллеспи, возможно, что вредонос отправляет ключ на свой сервер, если пострадавшие фиксировали сетевой трафик во время заражения, то ключ может быть перехвачен. Если трафик не фиксировался, то закрытый ключ RSA не получить.

Файлы, связанные с этим Ransomware:
Decryption-Info.HTA - название файла с требованием выкупа
IDo.txt
pubkey.txt
<random>.exe - случайное название вредоносного файла
stevenxx134@gmail.com.exe - файл из примера, представленного в анализе.

Наличие оригинального дешифровщика не обеспечивает расшифровку файлов, т.к. требуется RSA-ключ, который есть только у вымогателей.

https://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 14.12.2020

Размещено 16.12.2020 22:04:51

Прислали дешифровщик, файл с ключом, вбиваю данные как они просили в их дешифровщик, но ничего не происходит. Есть предположения, как заставить их дешифровщик расшифровать файлы?

Сообщений: 17435

Баллов: 13948

Регистрация: 16.03.2010

Размещено 17.12.2020 16:33:42

Цитата
nikvpro nik написал: Прислали дешифровщик, файл с ключом, вбиваю данные как они просили в их дешифровщик, но ничего не происходит. Есть предположения, как заставить их дешифровщик расшифровать файлы?

если возможно, пришлите дешифратор и файл с ключами + инструкцию, если есть такая - все в архиве с паролем infected в почту safety@chklst.ru

[ Как создать образ автозапуска? ]

Сообщений: 17435

Баллов: 13948

Регистрация: 16.03.2010

Размещено 18.12.2020 12:41:33

проверьте соответствие между идентификатором rsa ключа (наименование) и идентификторами зашифрованных файлов для разных компьютеров.

[ Как создать образ автозапуска? ]

Сообщений: 17435

Баллов: 13948

Регистрация: 16.03.2010

Размещено 01.01.2021 12:58:29

ключ сработал и все файлы, которые вы переслали были расшифрованы.

Прикрепленные файлы

void_decrypt.jpg (128.35 КБ)

[ Как создать образ автозапуска? ]

Voidcrypt , VoidCrypt

Ответы