Перейти к содержанию

Ransomware PAY_IN_MAXIM_24_HOURS

Andrey Ramazanov
 Поделиться

Рекомендуемые сообщения

Andrey Ramazanov Новичок

Andrey Ramazanov

Опубликовано
Опубликовано

Добрый день!

 

Столкнулись с аналогичным случаем как и данной теме: https://forum.kasperskyclub.ru/index.php?showtopic=59383 

 

Были зашифрованы документы на файловом хранилище, подключенном к серверу, в каждой папке следующий файл:

 

YOUR SYSTEM IS LOCKED AND ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.
DON'T WORRY YOUR FILES ARE SAFE.
TO RETURN ALL TO NORMALLY YOU MUST BUY THE CERBER DECRYPTOR PROGRAM.
PAYMENTS ARE ACCEPTED ONLY THROUGH THE BITCOIN NETWORK.
YOU CAN GET THEM VIA ATM MACHINE OR ONLINE 
https://www.localbitcoins.com/ (buy instantly online any country)
THE PRICE FOR DECRYPTOR SOFTWARE IS 0.8 BTC
BTC ADRESS : 3KxEZKjS4ifAHhX2o1fq9tERkAshSgA4hg (where you need to make the payment)
VERRY IMPORTANT !
DO NOT TRY TO SCAN WITH ANTIVIRUS YOU RISK LOSING YOUR DATA .
ANTIVIRUSES ONLY DESTROY THE ENCRYPTED DATA , THEY DO NOT KNOW THE ALGORITH WITH WICH THE ENTIRE SYSTEM WAS ENCRYPTED.
THE ONLY WAY TO DECRYPT YOUR SYSTEM AND RETURN TO NORMAL IS TO BUY THE ORIGINAL DECRYPTOR SOFTWARE.
For more information : repair_data@scryptmail.com   (24/7)
Subject : SYSTEM-LOCKED-ID: 10191895
 
Запустили сначала утилиту Farbar Recovery Scan Tool, логи в приложении.
После запуска Kaspersky Virus Removal Tool были найдены 4 вируса (фото в приложении), для их удаления понадобилась перезагрузка, после которой сервер перестал загружаться (судя по всему, повреждена файловая система и MBR). Логи Kaspersky Virus Removal Tool пока восстановить не удалось, восстанавливаем системные файлы с жестких дисков....
 
Можете ли вы чем-то помочь только по сэмплу файла и логам Farbar Recovery Scan Tool?
 
Заранее спасибо!

Archive.zip

Ссылка на комментарий
Поделиться на другие сайты
Andrey Ramazanov Новичок

Andrey Ramazanov

Опубликовано
  • Автор
Опубликовано

Спасибо, сейчас замаплю сторэйдж на другой сервер и пришлю. В архиве пока только образец xls файла.


Высылаю пример doc и pdf файлов.

archive.zip

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Ransomware-группировка Fog публикует IP-адреса жертв | Блог Касперского
      Автор KL FC Bot
      Мы внимательно следим за изменениями тактик злоумышленников. Недавно эксперты Глобального центра исследования и анализа угроз Kaspersky GReAT обратили внимание, что после атак шифровальщика-вымогателя Fog преступники публикуют не только украденные данные жертв, но и IP-адреса пострадавших компьютеров. Ранее мы не замечали такой тактики у шифровальщиков. В данной статье рассказываем, почему это важно и какова цель этого приема.
      Кто такие Fog и чем они известны
      С тех пор как бизнес шифровальщиков-вымогателей стал превращаться в полноценную индустрию, у злоумышленников наблюдается четко оформленное разделение труда. Сейчас создатели шифровальщика и люди, стоящие непосредственно за атаками, чаще всего никак не связаны — одни разрабатывают платформу для шантажа, а другие просто покупают услуги по модели Ransomware-as-a-Service (RaaS).
      Fog Ransomware — одна из таких платформ, впервые замеченная в начале 2024 года. Их шифровальщики используются для атак на компьютеры под управлением Windows и Linux. Как это обычно происходит в последние годы, данные на атакованных машинах не только шифруются, но и закачиваются на серверы злоумышленников, а затем, если жертва отказывается платить, публикуются на Tor-сайте.
      Атаки с использованием Fog проводились против компаний, работающих в сферах образования, финансов и организации отдыха. Часто для проникновения в инфраструктуру жертвы преступники использовали ранее утекшие учетные данные для доступа через VPN.
       
      View the full article
    • hobbit86
      King Ransomware зашифровал файлы организации
      Автор hobbit86
      Добрый день!
      На сервер 1С попал шифровальщик King Ransomware. Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      Проблема появилась после посещения специалиста обслуживающей 1С компании по Anydesk.
       
      FRST.txt Virus.rar Encrypted.rar
    • LamerMan
      Помощь с расшифровкой Elbie Ransomware
      Автор LamerMan
      Здравствуйте, 04.10.2022 на комп попал вирус-шифровальщик Elbie Ransomware, все файлы стали с расширением .lnk.id[E2638681-3398].[helprequest@techmail.info].Elbie
      Обратились в компанию по расшифровке, сказали цену 250 тыс. рублей. Сотрудник подключился удаленно и просканировал систему, оставив за собой софт(приложу во вложения)
      На момент заражения был открыт порт 3389 и настроено рдп с несложными паролями, на компе стоял Kaspersky Free (AVP21.3), есть предположение, что злоумышленник ботнетом пинговал айпишники с к классическими портами, затем забрутфорсил пароль
      Программа сотрудника аутсорс компании сканирует файлы, а затем выдает какой-то код, я так и не разобрался что с ним делать, он сказал что этим кодом пишется дешифратор. Так же там есть .exe программа, в которой ей кнопка decrypt, но она требует какой-то ключ, надеюсь, найдется человек, который сможет с этим разобраться
      Elbie Decrypt.zip
    • yaregg
      Diamond Ransomware
      Автор yaregg
      Вчера подключался некий "удалённый специалист" через anydesk.RDP порты были закрыты. Сегодня были проблемы с логином (пароль не походил). Зашёл под администратором, всё зашифровано.
      При помощи KVRT поймал исполняемый файл. Судя по всему, это LockBit V3 black и на расшифровку можно не рассчитывать?
       
       
       
       
      файлы.rarAddition.txtFRST.txt
    • Paulo César
      Infecção de ransomware STOP (Djvu)
      Автор Paulo César
      Boa tarde...
       
      Estou passando por essa praga que é o ransomware, preciso de ajuda caso alguém o possa fazer. 
      Passei o arquivo pelo site id-ransomware.malwarehunterteam.com e a mensagem que o STOP (Djavu). Alguém conhece?... Tem uma ferramenta para indicar?
×
×
  • Создать...