http://forum.esetnod32.ru Новое в теме зашифровано с расширением *.phoenix; .phobos; Caley; .Banta; .calum; .dever; .dewar; .lks; .STEEL; .Lizard; .decrypt; . Elbie; .unique; .SHTORM; .eking форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Sat, 18 Apr 2026 22:17:17 +0300 зашифровано с расширением *.phoenix; .phobos; Caley; .Banta; .calum; .dever; .dewar; .lks; .STEEL; .Lizard; .decrypt; . Elbie; .unique; .SHTORM; .eking Filecoder.Phobos в форуме Шифровальщики файлов и подбор дешифраторов.
Судя по всему, Файлы зашифрованы с помощью шифровальщика Phobos, к сожалению, на текущий момент расшифровка без приватного ключа невозможна. Рекомендуем вам сохранить важные зашифрованные документы на случай, если расшифровка станет возможной в будущем. Зачастую, кроме шифровальщика, система бывает заражена майнерами и другим вредоносным ПО. Уточните, требуется ли вам помощь в очистке системы?
17.06.2024 16:06:29, Валентин Поляков.]]> http://forum.esetnod32.ru/messages/forum35/topic15365/message117151/ http://forum.esetnod32.ru/messages/forum35/topic15365/message117151/ Mon, 17 Jun 2024 16:06:29 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *.phoenix; .phobos; Caley; .Banta; .calum; .dever; .dewar; .lks; .STEEL; .Lizard; .decrypt; . Elbie; .unique; .SHTORM; .eking Filecoder.Phobos в форуме Шифровальщики файлов и подбор дешифраторов.
Подхватили шифратора
можно ли восстановить файлы после поражения системы вирусом-шифровальщиком с расширением .Elbie  
Сам дешифратор вроде как существует, нам смогли открыть один файлик... но просят в два раза дороже чем сами мошенники (довольно впечатляющие суммы)
14.06.2024 16:19:38, Sp Kom.]]> http://forum.esetnod32.ru/messages/forum35/topic15365/message117147/ http://forum.esetnod32.ru/messages/forum35/topic15365/message117147/ Fri, 14 Jun 2024 16:19:38 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *.phoenix; .phobos; Caley; .Banta; .calum; .dever; .dewar; .lks; .STEEL; .Lizard; .decrypt; . Elbie; .unique; .SHTORM; .eking Filecoder.Phobos в форуме Шифровальщики файлов и подбор дешифраторов.
По времени выходит шифрование было днем
2023-10-19 14:48 - 2023-10-19 14:48 - 000005462 _____ C:\Users\User\Desktop\info.hta
2023-10-19 14:48 - 2023-10-19 14:48 - 000000187 _____ C:\Users\User\Desktop\info.txt

Сэмплы шифровальщика скорее всего зачищены антивирусными сканерами.

С расшифровкой данных, к сожалению, не сможем помочь.
На текущий момент расшифровки в вирлабе нет. Сохраните важные зашифрованные документы на отдельный носитель,
возможно, в будущем, расшифровка станет возможной.
21.10.2023 05:17:02, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15365/message116716/ http://forum.esetnod32.ru/messages/forum35/topic15365/message116716/ Sat, 21 Oct 2023 05:17:02 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *.phoenix; .phobos; Caley; .Banta; .calum; .dever; .dewar; .lks; .STEEL; .Lizard; .decrypt; . Elbie; .unique; .SHTORM; .eking Filecoder.Phobos в форуме Шифровальщики файлов и подбор дешифраторов.
логи FRST
FRST.txt
21.10.2023 01:20:49, Тимофей Синицын.]]> http://forum.esetnod32.ru/messages/forum35/topic15365/message116715/ http://forum.esetnod32.ru/messages/forum35/topic15365/message116715/ Sat, 21 Oct 2023 01:20:49 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *.phoenix; .phobos; Caley; .Banta; .calum; .dever; .dewar; .lks; .STEEL; .Lizard; .decrypt; . Elbie; .unique; .SHTORM; .eking Filecoder.Phobos в форуме Шифровальщики файлов и подбор дешифраторов.
Судя по образу в системе уже нет активного шифровальщика. Это Filecoder.Phobos (расширение *.Elbie)
Или образ был создан под учетной записью без прав Администратора

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
(!) Не удалось открыть ключ: [Отказано в доступе. ]

HKEY_USERS\S-1-5-21-3559245007-3873300145-2388895131-1000\Software\Microsoft\Windows\CurrentVersion\Run
(!) Не удалось открыть ключ: [Отказано в доступе. ]

(!) Не удалось открыть ключ: [Отказано в доступе. ]
HKEY_USERS\S-1-5-21-3559245007-3873300145-2388895131-1003\Software\Microsoft\Windows\CurrentVersion\Run

К сожалению, по Phobos нет расшифровки без приватного ключа.

Сделайте, пожалуйста, еще логи FRST
https://forum.esetnod32.ru/forum9/topic2798/
20.10.2023 23:05:33, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15365/message116714/ http://forum.esetnod32.ru/messages/forum35/topic15365/message116714/ Fri, 20 Oct 2023 23:05:33 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *.phoenix; .phobos; Caley; .Banta; .calum; .dever; .dewar; .lks; .STEEL; .Lizard; .decrypt; . Elbie; .unique; .SHTORM; .eking Filecoder.Phobos в форуме Шифровальщики файлов и подбор дешифраторов.
Учетная запись ROP такая была на компьютере . Подозреваю что пользователь использовал логин с паролем для регистрации на каком-то сервисе , откуда эти данные утекли.
Все нужные файлы прикрепил
зашифрованные файлы.rar
IRINA_T_2023-10-20_13-18-46.TXT
Текст вымогателей.txt
20.10.2023 13:30:45, Тимофей Синицын.]]> http://forum.esetnod32.ru/messages/forum35/topic15365/message116712/ http://forum.esetnod32.ru/messages/forum35/topic15365/message116712/ Fri, 20 Oct 2023 13:30:45 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *.phoenix; .phobos; Caley; .Banta; .calum; .dever; .dewar; .lks; .STEEL; .Lizard; .decrypt; . Elbie; .unique; .SHTORM; .eking Filecoder.Phobos в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Тимофей Синицын написал:
Добрый день. Подхватили Phobos.
прикрепил лог ESETSysVulnCheck[/B]
=============
+
Добавьте, пожалуйста, несколько зашифрованных файлов и записку о выкупе в архиве, и загрузите архив в ваше сообщение.
Если система не очищена тел шифровальщика,
сделайте образ автозапуска системы в uVS, прикрепите файл образа к вашему сообщению.
----------
по логу ESVC:

1. учетная запись ваша? создана накануне атаки.

Name,Creation date,Is enabled?,Is locked out?,Is administrator?,Has RDP access?
ROP,17.10.2023 20:25:11 (?),no,no,yes,yes

2. По параметрам политик:

Lockout threshold,Никогда ---
необходимо указывать 20-30 неверных попыток после чего учетная запись будет блокирована с целью предупреждения автоматического подбора (brute-force) пароля.

3.по антивирусам - антивирусная защита не установлена.

4. Timeline:
Datetime,Source,Event description
17.10.2023 20:25:12.464,TS - Lcl Session Man,"""ROP"" logged in from IP 89.39.107.157."
17.10.2023 20:25:11.999,Local Users,"Local user ""ROP"" was created."
17.10.2023 20:22:14.404,TS - Lcl Session Man,"""Logistika"" logged in from IP 89.39.107.157."

Возможно здесь начало атаки.
Надо сверить с датой и временем шифрования файлов.

(подобран пароль к учетной записи Logistika и создана новая учетная запись RDP c ip country:        NL)
по timeline:

Можно предположить, что шифрование было или вечером 17.10 или ночью 18.10.
20.10.2023 04:38:13, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15365/message116710/ http://forum.esetnod32.ru/messages/forum35/topic15365/message116710/ Fri, 20 Oct 2023 04:38:13 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *.phoenix; .phobos; Caley; .Banta; .calum; .dever; .dewar; .lks; .STEEL; .Lizard; .decrypt; . Elbie; .unique; .SHTORM; .eking Filecoder.Phobos в форуме Шифровальщики файлов и подбор дешифраторов.
Добрый день. Подхватили Phobos.
прикрепил лог ESETSysVulnCheck[/B]                                                                                                                                                                                                          
ESVC_IRINA_T_20231019162725.zip
19.10.2023 16:37:56, Тимофей Синицын.]]> http://forum.esetnod32.ru/messages/forum35/topic15365/message116707/ http://forum.esetnod32.ru/messages/forum35/topic15365/message116707/ Thu, 19 Oct 2023 16:37:56 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *.phoenix; .phobos; Caley; .Banta; .calum; .dever; .dewar; .lks; .STEEL; .Lizard; .decrypt; . Elbie; .unique; .SHTORM; .eking Filecoder.Phobos в форуме Шифровальщики файлов и подбор дешифраторов.
Судя по маркерам в зашифрованных файлах
0000000000000000000000000000000000000000
а так же по шаблону наименования зашифрованного файла:
FileName.id[5A0414FE-2899].[e-mail].eking:
это  Filecoder.Phobos
Сделайте, пожалуйста, следующие логи для поиска файлов шифровальщика и анализа проникновения:
образ автозапуска в uVS.
Как собрать, подробнее на нашем техническом форуме:
https://forum.esetnod32.ru/forum9/topic2687/
и
"SysVulnCheck_out.zip" (лог, созданный в программе ESETSysVulbCheck)

Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
https://ftp.eset.sk/samples/svchecker/ESETSysVulnCheck.exe
и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита,
появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.
27.02.2023 08:11:13, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15365/message115495/ http://forum.esetnod32.ru/messages/forum35/topic15365/message115495/ Mon, 27 Feb 2023 08:11:13 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *.phoenix; .phobos; Caley; .Banta; .calum; .dever; .dewar; .lks; .STEEL; .Lizard; .decrypt; . Elbie; .unique; .SHTORM; .eking Filecoder.Phobos в форуме Шифровальщики файлов и подбор дешифраторов.
Добрый день!
На выходных взломали сервер и зашифровали почти 99% данных на севере. Данные прилагаю. Подскажите пожалуйста есть ли возможность расшифровать данные?
data.rar
27.02.2023 01:43:34, Данил Пак.]]> http://forum.esetnod32.ru/messages/forum35/topic15365/message115484/ http://forum.esetnod32.ru/messages/forum35/topic15365/message115484/ Mon, 27 Feb 2023 01:43:34 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *.phoenix; .phobos; Caley; .Banta; .calum; .dever; .dewar; .lks; .STEEL; .Lizard; .decrypt; . Elbie; .unique; .SHTORM; .eking Filecoder.Phobos в форуме Шифровальщики файлов и подбор дешифраторов.
Добавьте во вложение (в архиве) несколько зашифрованных файлов и записку о выкупе.
Сделайте в зашифрованной системе образ автозапуска системы в uVS.

При наличие лицензии на продукт ESET вы так же можете обратиться в техническую поддержку support@esetnod32.ru

Какие необходимо собрать файлы - подробнее на нашем техническом форуме
https://forum.esetnod32.ru/forum35/topic16689/
27.06.2022 17:20:12, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15365/message114202/ http://forum.esetnod32.ru/messages/forum35/topic15365/message114202/ Mon, 27 Jun 2022 17:20:12 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *.phoenix; .phobos; Caley; .Banta; .calum; .dever; .dewar; .lks; .STEEL; .Lizard; .decrypt; . Elbie; .unique; .SHTORM; .eking Filecoder.Phobos в форуме Шифровальщики файлов и подбор дешифраторов.
Доброго времени суток. Попался на компьютер вирус шифровальщик Phobos (johnhelper@gmx.de) помогите пожалуйста расшифровать файлы. Сам вирус и файлы требующие выкупа все есть. Куда можно направить файлы? Заранее спасибо большое.  
27.06.2022 14:30:58, ONLY the.]]> http://forum.esetnod32.ru/messages/forum35/topic15365/message114201/ http://forum.esetnod32.ru/messages/forum35/topic15365/message114201/ Mon, 27 Jun 2022 14:30:58 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *.phoenix; .phobos; Caley; .Banta; .calum; .dever; .dewar; .lks; .STEEL; .Lizard; .decrypt; . Elbie; .unique; .SHTORM; .eking Filecoder.Phobos в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Дмитрий Таракчеев написал:
Здравствуйте! Поймал шифровальщика Caley.
Во вложении зашифрованные файлы, их оригинальные копии и записки - txt и hta
Помогите кто чем может
=============
расшифровки по phobos нет в настоящее время,
если необходима очистка системы, добавьте образ автозапуска системы
28.05.2020 15:35:16, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15365/message109122/ http://forum.esetnod32.ru/messages/forum35/topic15365/message109122/ Thu, 28 May 2020 15:35:16 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *.phoenix; .phobos; Caley; .Banta; .calum; .dever; .dewar; .lks; .STEEL; .Lizard; .decrypt; . Elbie; .unique; .SHTORM; .eking Filecoder.Phobos в форуме Шифровальщики файлов и подбор дешифраторов.
Здравствуйте! Поймал шифровальщика Caley.
Во вложении зашифрованные файлы, их оригинальные копии и записки - txt и hta
Помогите кто чем может
Caley.zip
27.05.2020 23:06:49, Дмитрий Таракчеев.]]> http://forum.esetnod32.ru/messages/forum35/topic15365/message109118/ http://forum.esetnod32.ru/messages/forum35/topic15365/message109118/ Wed, 27 May 2020 23:06:49 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *.phoenix; .phobos; Caley; .Banta; .calum; .dever; .dewar; .lks; .STEEL; .Lizard; .decrypt; . Elbie; .unique; .SHTORM; .eking Filecoder.Phobos в форуме Шифровальщики файлов и подбор дешифраторов.
скорее  всего, ваши файлы зашифрованы шифратором phobos


====quote====
Расширение: .Caley
Составное расширение: .id[XXXXXXXX-2422].[jabber paybtc@sj.ms].Caley
Записка: info.hta, info.txt
Email: jabberpaybtc@sj.ms
=============
https://id-ransomware.blogspot.com/2017/10/phobos-ransomware.html
25.03.2020 14:43:08, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15365/message108694/ http://forum.esetnod32.ru/messages/forum35/topic15365/message108694/ Wed, 25 Mar 2020 14:43:08 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *.phoenix; .phobos; Caley; .Banta; .calum; .dever; .dewar; .lks; .STEEL; .Lizard; .decrypt; . Elbie; .unique; .SHTORM; .eking Filecoder.Phobos в форуме Шифровальщики файлов и подбор дешифраторов.
@Ильфат Юсупов,
добавьте несколько зашифрованных файлов и записку о выкупе в архив, и поместите в ваше сообщение на форум.
+
сделайте образ автозапуска системы, возможно файлы шифратора еще остались в системе
25.03.2020 14:40:10, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15365/message108692/ http://forum.esetnod32.ru/messages/forum35/topic15365/message108692/ Wed, 25 Mar 2020 14:40:10 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *.phoenix; .phobos; Caley; .Banta; .calum; .dever; .dewar; .lks; .STEEL; .Lizard; .decrypt; . Elbie; .unique; .SHTORM; .eking Filecoder.Phobos в форуме Шифровальщики файлов и подбор дешифраторов.
Добрый день, поймал шифровальщика, [B61DC8B9-2422].[jabber paybtc@sj.ms].Caley, помогите расшифровать.
25.03.2020 10:05:43, Ильфат Юсупов.]]> http://forum.esetnod32.ru/messages/forum35/topic15365/message108691/ http://forum.esetnod32.ru/messages/forum35/topic15365/message108691/ Wed, 25 Mar 2020 10:05:43 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *.phoenix; .phobos; Caley; .Banta; .calum; .dever; .dewar; .lks; .STEEL; .Lizard; .decrypt; . Elbie; .unique; .SHTORM; .eking Filecoder.Phobos в форуме Шифровальщики файлов и подбор дешифраторов.
функция шифрования не обнаружена в данном файле, хотя имя файла связано с именем почты злоумышленников batecaddric@aol.com
04.07.2019 17:22:57, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15365/message106885/ http://forum.esetnod32.ru/messages/forum35/topic15365/message106885/ Thu, 04 Jul 2019 17:22:57 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *.phoenix; .phobos; Caley; .Banta; .calum; .dever; .dewar; .lks; .STEEL; .Lizard; .decrypt; . Elbie; .unique; .SHTORM; .eking Filecoder.Phobos в форуме Шифровальщики файлов и подбор дешифраторов.
https://www.hybrid-analysis.com/sample/2ad9911e932291547af58d0cb504b4fffd861ba819746908f­5adf08fb9484...

готово.
04.07.2019 16:49:21, STANISLAV.]]> http://forum.esetnod32.ru/messages/forum35/topic15365/message106884/ http://forum.esetnod32.ru/messages/forum35/topic15365/message106884/ Thu, 04 Jul 2019 16:49:21 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *.phoenix; .phobos; Caley; .Banta; .calum; .dever; .dewar; .lks; .STEEL; .Lizard; .decrypt; . Elbie; .unique; .SHTORM; .eking Filecoder.Phobos в форуме Шифровальщики файлов и подбор дешифраторов.
судя по детекту на VT исполняемый файл заражен файловым вирусом neshta

попробуйте загрузить этот файл для анализа на
https://www.hybrid-analysis.com/
разрешите общий доступ к этому файлу
-------
по phobos, к сожалению, в вирлабах на текущий момент расшифровки нет.
восстановление документов возможно только из резервных копий.
04.07.2019 16:19:28, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15365/message106883/ http://forum.esetnod32.ru/messages/forum35/topic15365/message106883/ Thu, 04 Jul 2019 16:19:28 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *.phoenix; .phobos; Caley; .Banta; .calum; .dever; .dewar; .lks; .STEEL; .Lizard; .decrypt; . Elbie; .unique; .SHTORM; .eking Filecoder.Phobos в форуме Шифровальщики файлов и подбор дешифраторов.
https://www.virustotal.com/gui/file/a2a4bdcec36d216fd92b9c4d784f0db11929ccd59f93713­b0c51d58a8e51cd1b...
04.07.2019 15:18:50, STANISLAV.]]> http://forum.esetnod32.ru/messages/forum35/topic15365/message106882/ http://forum.esetnod32.ru/messages/forum35/topic15365/message106882/ Thu, 04 Jul 2019 15:18:50 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *.phoenix; .phobos; Caley; .Banta; .calum; .dever; .dewar; .lks; .STEEL; .Lizard; .decrypt; . Elbie; .unique; .SHTORM; .eking Filecoder.Phobos в форуме Шифровальщики файлов и подбор дешифраторов.
@STANISLAV KERZHENTSEV,
добавьте линк проверки файлов на virustotal.com
04.07.2019 15:07:20, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15365/message106881/ http://forum.esetnod32.ru/messages/forum35/topic15365/message106881/ Thu, 04 Jul 2019 15:07:20 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *.phoenix; .phobos; Caley; .Banta; .calum; .dever; .dewar; .lks; .STEEL; .Lizard; .decrypt; . Elbie; .unique; .SHTORM; .eking Filecoder.Phobos в форуме Шифровальщики файлов и подбор дешифраторов.
Изначальная записка выше, далее пришел такой ответ:

Decoding Files 0,7 btc tommorow 0,9 btc - 1 PC =From 3 PC-price negotiable pay in Bitcoin (BTC) translation at the expense of Bitcoin 33PeMvvFuRvy5FUdcB3jwJoWHKfkmf3AqA
Buy Bitcoin here https://localbitcoins.com or https://www.buybitcoinworldwide.com/find-exchange/ or https://www.coinbase.com or https://www.xmlgold.eu or any other exchanger or write to Google how to buy Bitcoin in your country?
in order to guarantee the availability of our key we can decrypt one file for free the size of the files <1 mb, doc.docx.xls.xlsx.pdf.jpg.bmp.txt file format other formats will not be free decryption after payment you will receive a program how many computers do you have encrypted ?
what country are you from ?

each decryption key is worth the money. no money, no transcript

we also offer service to you. full of advice for protecting against attacks? - the price of 0.1 BTC and remember our work is very hard. and it requires a lot of time and costs.

If there is no response from our mail, you can install the Jabber client and write to us in support of phobos_helper@xmpp.jp or phobos_helper@exploit.im

Приложил 2 закодированных и 2 оригинальных файла.

Файл из карантина  на Virus total отправил.
Что дальше?
Файлы.7z
03.07.2019 18:29:28, STANISLAV KERZHENTSEV.]]> http://forum.esetnod32.ru/messages/forum35/topic15365/message106878/ http://forum.esetnod32.ru/messages/forum35/topic15365/message106878/ Wed, 03 Jul 2019 18:29:28 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *.phoenix; .phobos; Caley; .Banta; .calum; .dever; .dewar; .lks; .STEEL; .Lizard; .decrypt; . Elbie; .unique; .SHTORM; .eking Filecoder.Phobos в форуме Шифровальщики файлов и подбор дешифраторов.
@STANISLAV KERZHENTSEV,
по лечению системы.
судя по логу cureit
C:\users\администратор\appdata\roaming\microsoft\windows\start­ menu\programs\startup\batecaddric.exe - infected with Win32.HLLP.Neshta
у вас ко всему прочему еще было заражение файловым вирусом Neshta
проверьте системный диск полностью еще раз с помощью cureit
(чтобы убедиться, что все найденные зараженные файлы были обезврежены)
лог проверки добавьте на форум.

по расшифровке файлов:
добавьте на форум записку о выкупе и пару зашифрованных файлов в архиве
+
сделайте проверку на http://virustotal.com этого файла

====quote====
C:\Users\Администратор\AppData\Local\Temp\23\3582-490\batecaddric.exe - quarantined, reboot required
C:\programdata\microsoft\windows\start menu\programs\startup\batecaddric.exe - quarantined
C:\users\администратор\appdata\local\batecaddric.exe - quarantined
C:\users\администратор\appdata\roaming\microsoft\windows\start­ menu\programs\startup\batecaddric.exe - quarantined
=============
файл должен остаться в карантине cureit
скорее всего это файл шифратора, просто был заражен после запуска еще и neshta
30.06.2019 14:36:51, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15365/message106863/ http://forum.esetnod32.ru/messages/forum35/topic15365/message106863/ Sun, 30 Jun 2019 14:36:51 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *.phoenix; .phobos; Caley; .Banta; .calum; .dever; .dewar; .lks; .STEEL; .Lizard; .decrypt; . Elbie; .unique; .SHTORM; .eking Filecoder.Phobos в форуме Шифровальщики файлов и подбор дешифраторов.
Добрый день. Поймали шифровальщика phoenix/phobos. Видимо через rdp.
Есть ли возможность расшифровать?

все файлы имеют вид  -

xxx.yyy.id[много цифр].[batecaddric@aol.com].phoenix

на диске с файл с текстом:

!!! All of your files are encrypted !!!
To decrypt them send e-mail to this address: batecaddric@aol.com.
If we don't answer in 24h., send e-mail to this address: uttensherman@aol.com
If there is no response from our mail, you can install the Jabber client and write to us in support of phobos_helper@xmpp.jp
cureit.log
NIKOSIASRV2_2019-06-30_13-54-34_v4.1.6.7z
30.06.2019 14:12:27, STANISLAV KERZHENTSEV.]]> http://forum.esetnod32.ru/messages/forum35/topic15365/message106862/ http://forum.esetnod32.ru/messages/forum35/topic15365/message106862/ Sun, 30 Jun 2019 14:12:27 +0300 Шифровальщики файлов и подбор дешифраторов