globeimposter 2.0 Вирус шифровальщик GlobeImposter 2.0(SATANA) зашифровал файлы на компьютере бухгалтера
Автор
feden86,
в Помощь в борьбе с шифровальщиками-вымогателями
-
Похожий контент
-
От dr_Leon
Взломали 15.02.2022, ориентировочно ночью, сервер Win2008 R2, предположительно по RDP.
Были изменены все пароли учётных записей, доступ к серверу невозможен по локали и по RDP
Под LiveCD проверил утилитой Cure it, нашлось три идентичных файла в каталогах 1С (скрин), которые были идентифицированы как заражённые: trojan.encoder.34618
Анализ данных файликов другими антивирусами дал следующее:
Avast - Win32:RansomX-gen (Ransom)
KVRT - Trojan.Win32.Generic
На дисках зашифрованы практически все файлы документов и проектов с добавлением в имя надписи "[Bomani@Email.CoM]".
Просьба помочь с расшифровкой данной заразы, заранее спасибо.
Addition.txt FRST.txt 11 Фасад в осях 1-8.pdf.[Bomani@Email.zip
-
От damon
Пробрались через RDP и запустили шифровальщик.
Все файлы имеют в конце приписку SATANA.
Есть файл, в котором написано мой ID и электронки вымогателей.
Можете посмотреть, возможно ли что-то сделать с этой бедой.
Спасибо.
пароль на архив с зараженными вордовскими файлами 1234567890
CollectionLog-2022.02.01-10.29.zip SATANA-files.7z
-
От Avrora21
Здравствуйте! ПК поражен шифровальщиком Loki locker (Miracle11@keemail.me Miiracle11@yandex.com).
Есть ли возможность расшифровать пораженные файлы?
Прилагаю архив с зашифрованными файлами и запиской о выкупе.
E.7z
-
От Alexey_K
Добрый день. Поймали шифровальщика. Возможно ли как-то восстановить файлы?
Addition.txt FRST.txt files.zip
-
От AVibe
Доброго дня.
Вирус зашифровал всё что можно и нельзя. Главное базы 1С. Тело шифратора, так же как и файлы зашифрованные и для сравнения прилагаю (в архиве в облаке. Пароль на архив - 12345 . Иначе без пароля не давал загрузить). (Так же к топику его прикрепил).
[ссылка]
Самое интересное, что на сервере SQL стоял KES - kes10sp2mr4_aes56 + Сервис пак 3-й (или 4-й, точно не помню. С базами на 30.09.2021) был установлен (с триальной лицензией. Полную лицензию на 10 комп/серверов - оплатили за день до этого (есть платёжка), но ключ не успели получить)
. На сервере было два пользователя(админа). Сервер без расшаренных рессурсов. Вирус как-то пробрался и зашифровал всё.
Есть лог несчастья:
**************** Loki started at 06.10.2021 in 7:02:46 **************** [INFO] [06.10.2021 7:02:46] Error handler initialized successfully. [INFO] [06.10.2021 7:02:46] Opening Mutex. [INFO] [06.10.2021 7:02:46] Mutex locked successfully. [INFO] [06.10.2021 7:02:46] Loading configuration. [INFO] [06.10.2021 7:02:46] Reading config file content. [INFO] [06.10.2021 7:02:46] Configuration loaded successfully. [INFO] [06.10.2021 7:02:46] loading encryption keys. [INFO] [06.10.2021 7:02:46] Checking timer. [INFO] [06.10.2021 7:02:46] Copying ransomware file in computer startup. [ERROR] [06.10.2021 7:02:46] Failed to copy program. (destination file path -> C:\Users\Alex\AppData\Roaming\winlogon.exe , error message -> Отказано в доступе по пути "C:\Users\Alex\AppData\Roaming\winlogon.exe".) [ERROR] [06.10.2021 7:02:46] Failed to copy program. (destination file path -> C:\Windows\winlogon.exe , error message -> Отказано в доступе по пути "C:\Windows\winlogon.exe".) [INFO] [06.10.2021 7:02:46] Building/setting encrypted files handler. [INFO] [06.10.2021 7:02:46] Checking Administrator privilege availability. [INFO] [06.10.2021 7:02:46] Fake Windows update : disabled. [INFO] [06.10.2021 7:02:46] Terminating disruptive processes. [INFO] [06.10.2021 7:02:46] Getting process list. [INFO] [06.10.2021 7:02:46] Disruptive process sqlbrowser found. (PID -> 4160). [INFO] [06.10.2021 7:02:46] Terminating process sqlbrowser (PID -> 4160). [INFO] [06.10.2021 7:02:46] Process sqlbrowser terminated successfully. (PID -> 4160). [INFO] [06.10.2021 7:02:46] Stopping disruptive services. [INFO] [06.10.2021 7:02:46] Getting service list. [INFO] [06.10.2021 7:02:46] Disruptive service found. (name -> MSDTC) [INFO] [06.10.2021 7:02:46] Getting service status. (name -> MSDTC) [INFO] [06.10.2021 7:02:46] Stopping service MSDTC. [INFO] [06.10.2021 7:02:46] Disruptive service found. (name -> MSSQLSERVER) [INFO] [06.10.2021 7:02:46] Getting service status. (name -> MSSQLSERVER) [INFO] [06.10.2021 7:02:46] Service MSSQLSERVER is not started. [INFO] [06.10.2021 7:02:46] Disruptive service found. (name -> SQLBrowser) [INFO] [06.10.2021 7:02:46] Getting service status. (name -> SQLBrowser) [INFO] [06.10.2021 7:02:46] Service SQLBrowser is not started. [INFO] [06.10.2021 7:02:46] Disruptive service found. (name -> SQLSERVERAGENT) [INFO] [06.10.2021 7:02:46] Getting service status. (name -> SQLSERVERAGENT) [INFO] [06.10.2021 7:02:46] Service SQLSERVERAGENT is not started. [INFO] [06.10.2021 7:02:46] Disruptive service found. (name -> SQLWriter) [INFO] [06.10.2021 7:02:46] Getting service status. (name -> SQLWriter) [INFO] [06.10.2021 7:02:46] Service SQLWriter is not started. [INFO] [06.10.2021 7:02:46] Disruptive service found. (name -> vds) [INFO] [06.10.2021 7:02:46] Getting service status. (name -> vds) [INFO] [06.10.2021 7:02:46] Stopping service vds. [INFO] [06.10.2021 7:02:46] Disable windows task manager -> disabled. [INFO] [06.10.2021 7:02:46] Executing some important CMD commands. [INFO] [06.10.2021 7:02:46] Removing system restore points. [ERROR] [06.10.2021 7:02:46] Не найдено [INFO] [06.10.2021 7:02:46] Clearing user recycle bin. [ERROR] [06.10.2021 7:02:46] Failed to empty recycle bin , error code -> -2147418113 [INFO] [06.10.2021 7:02:46] Disabling Windows defender anti virus. [INFO] [06.10.2021 7:02:46] Windows defender anti-virus disabled successfully. [INFO] [06.10.2021 7:02:46] Applying user login note message. [INFO] [06.10.2021 7:02:46] User login note message applied successfully. [INFO] [06.10.2021 7:02:46] Applying note message in "my computer" properties. [INFO] [06.10.2021 7:02:46] OEM information applied successfully. [INFO] [06.10.2021 7:02:46] Starting encryption process. [INFO] [06.10.2021 7:02:46] Initializing drive "A:\" I/O thread. [INFO] [06.10.2021 7:02:46] Drive A:\ thread created & started successfully. (thread id -> 7400, size -> 268,6 MB , type -> Fixed). [INFO] [06.10.2021 7:02:46] Initializing drive C:\ I/O thread. [INFO] [06.10.2021 7:02:46] Drive C:\ thread started successfully. (thread id -> 4308, size -> 166,9 GB , type -> Fixed). [INFO] [06.10.2021 7:02:46] Initializing drive "D:\" I/O thread. [INFO] [06.10.2021 7:02:46] Drive D:\ thread created & started successfully. (thread id -> 9940, size -> 4,3 GB , type -> CDRom). [INFO] [06.10.2021 7:02:46] Initializing drive "Z:\" I/O thread. [INFO] [06.10.2021 7:02:46] Drive Z:\ thread created & started successfully. (thread id -> 676, size -> 229,0 GB , type -> Fixed). [INFO] [06.10.2021 7:02:46] Waiting for I/O threads to finish. [INFO] [06.10.2021 7:03:24] Changing volumes label. [INFO] [06.10.2021 7:03:24] Volume A:\ label changed successfuly , new volume label -> Locked by Loki. [INFO] [06.10.2021 7:03:24] Volume C:\ label changed successfuly , new volume label -> Locked by Loki. [ERROR] [06.10.2021 7:03:24] Failed to set volume label , volume -> D:\ , error code -> 5 [INFO] [06.10.2021 7:03:24] Volume Z:\ label changed successfuly , new volume label -> Locked by Loki. [INFO] [06.10.2021 7:03:24] Changing Windows desktop wallpaper. [INFO] [06.10.2021 7:03:26] Windows desktop wallpaper changed successfully. [ERROR] [06.10.2021 7:03:26] Failed to write info file. (error message -> Отказано в доступе по пути "D:\info.hta".) [INFO] [06.10.2021 7:03:26] Shutdown -> disabled. **************** Loki finished at 06.10.2021 in 7:03:26 ****************
loki pass 12345.rar
-
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.