Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT , Filecoder.FONIX

1 2 След.
RSS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.02.2021 12:33:04
по расширению: .repter нет расшифровки.
https://id-ransomware.blogspot.com/2020/06/fonixcrypter.html
---------
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.03.2023 13:22:37
update:
по FONIX/RYK известны следующие почты:
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]

update3:

Определенные группы файлов просто полностью испорчены вредоносной программой
краткое резюме от Эмсисофт:

* Any File [<300KB] = Good
* .zip [300KB - 2GB] = Unrecoverable
* .zip [2GB+] = Recoverable
* "Important" [300KB - 2GB] = Good
* "Important" [2GB+] = Unrecoverable
* Other File [300KB - 2GB] = Good
* Other File [2GB+] = Recoverable

С «Важными» расширениями, которые они вносят в белый список, например .MDF, .SQL, .VHD и т. д.

update4:
стала возможна расшифровка раннего варианта FONIX/Phobos/eking
[ Как создать образ автозапуска? ]
 
Aristan Admin
Aristan Admin
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 13.06.2023
Размещено 13.06.2023 08:25:42
Добрый день! Подскажите, работает ли сейчас тех поддержка есет? Хочу отправить зашифрованные файлы. Шифровальщик Trojan.Encoder.10700 (#Ryuk #Hermes). Может есть уже дешифратор.  
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.06.2023 08:30:17
В первую очередь:
Добавьте, пожалуйста, несколько зашифрованных файлов+записку о выкупе hrmlog1 в отдельном архиве Crypted+ файл шифровальщика (ryuk.exe, ryuk64.exe) с паролем infected в архив Filecoder. проверим возможность расшифровки на текущий момент.

+
Если есть доступ к зашифрованному устройству, сделайте дополнительно лог ESETLogCollector
Цитата
"ess_logs.zip" (логи из программы ESETLogCollector)

Скачайте утилиту ESET Log Collector по ссылке:
https://download.eset.com/com/eset/tools/diagnosis/log_collector/latest/esetlogcol­lector.exe

Перед сбором лога ELC желательно, чтобы на компьютере была установлена последняя версия антивируса с действующей лицензией:
Сохраните программу на компьютер. Запустите ESET Log Collector от имени администратора (щелкните по программе правой клавишей мышки и в контекстном меню выберите "Запуск от имени администратора").  
+
Цитата
"SysVulnCheck_out.zip" (лог, созданный в программе ESETSysVulbCheck)

Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
https://ftp.eset.sk/samples/svchecker/ESETSysVulnCheck.exe

и запустите её от имени администратора на устройстве где было шифрование. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.  
[ Как создать образ автозапуска? ]
 
Aristan Admin
Aristan Admin
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 13.06.2023
Размещено 13.06.2023 09:06:11
по ссылке https://download.eset.com/com/eset/tools/diagnosis/log_collector/latest/esetlogcol­­­lector.exe не могу скачать, не найдена страница (404)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.06.2023 09:28:38
по этой пробуйте
https://download.eset.com/com/eset/tools/diagnosis/log_collector/latest/esetlogcol­lector.exe
[ Как создать образ автозапуска? ]
 
Aristan Admin
Aristan Admin
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 13.06.2023
Размещено 13.06.2023 09:43:07
так же высылаю файлы логов
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.06.2023 09:48:51
Хорошо, логи посмотрю, добавьте так же это.
Цитата
Добавьте, пожалуйста, несколько зашифрованных файлов+записку о выкупе hrmlog1 в отдельном архиве Crypted+ файл шифровальщика (ryuk.exe, ryuk64.exe) с паролем infected в архив Filecoder. проверим возможность расшифровки на текущий момент.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.06.2023 09:58:26
Судя по логу ELC есть задачи с RYUK
Цитата
c:\windows\system32\tasks\ryk,
c:\programdata\microsoft\windows\start Menu\Programs\StartUp\ryuk.exe, ,

c:\windows\system32\tasks\RYUK,
c:\programdata\microsoft\windows\start Menu\Programs\StartUp\ryuk.exe, ,

по логу ESVC:
Цитата
sep=,
Path,Actions,Description,ID
\ryk,Author   L C:\ProgramData\Microsoft\Windows\Start< Menu\Programs\StartUp\ryuk.exe,,{5CF23348-0E2C-4D26-831F-97E6B2F1FC20}
sep=,
Path,Actions,Description,ID
\RYUK,Author   L C:\ProgramData\Microsoft\Windows\Start< Menu\Programs\StartUp\ryuk.exe,,{4293C248-9461-451A-A2E0-7B6F1C8E18BB}

Возможно шифровальщик еще активен в системе, или может запуститься через задачи.

обратите внимание, что сейчас в системе у вас два установленных антивируса. Защиту одного из них можно отключить, чтобы не было конфликта.

файл шифровальщика есть в процессах:
ryuk.exe, 9112, SARABI\Администратор, , , , "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\ryuk.exe"

sep=,
Image name,PID,Session name,Session ID,Memory usage,Status,User name,CPU time,Window title
ryuk.exe,9112,Console,1,20 944 K,Running,SARABI\Администратор,0:01:53,C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\ryuk.exe

по логу ESVC:
журналы к сожалению очищены самостоятельно, или злоумышленниками, антивирусы похоже установлены уже после атаки шифрования:
sep=,
Datetime,Source,Event description
13.06.2023 09:08:21.029,Windows Event Log,"Log """" was cleared by \."
13.06.2023 09:08:21.000,Windows Event Log,"Log """" was cleared by \."
13.06.2023 09:08:20.974,Windows Event Log,"Log """" was cleared by \."
13.06.2023 09:08:20.972,Windows Event Log,"Log """" was cleared by \."
13.06.2023 09:08:20.943,Windows Event Log,"Log """" was cleared by \."
13.06.2023 09:08:20.914,Windows Event Log,"Log """" was cleared by \."
13.06.2023 09:08:20.600,Windows Event Log,"Log """" was cleared by \."
12.06.2023 23:50:15.682,Non-MS Apps,"Application ""Dr.Web Anti-virus for Windows Servers"" was installed."


----------
Для очистки системы сделайте пожалуйста, образ автозапуска системы
https://forum.esetnod32.ru/forum9/topic2687/

Файл образа прикрепите к вашему сообщению.
-----------
[ Как создать образ автозапуска? ]
 
Aristan Admin
Aristan Admin
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 13.06.2023
Размещено 13.06.2023 10:13:50
Цитата
santy написал:
Хорошо, логи посмотрю, добавьте так же это.
Цитата
Добавьте, пожалуйста, несколько зашифрованных файлов+записку о выкупе hrmlog1 в отдельном архиве Crypted+ файл шифровальщика (ryuk.exe, ryuk64.exe) с паролем infected в архив Filecoder. проверим возможность расшифровки на текущий момент.
ранее я высылал два архива, высылаю повторно
Изменено: Aristan Admin - 13.08.2023 11:04:42 (извиняюсь, не отправил)
 
1 2 След.
Читают тему