Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Зашифрованы файлы Salted

eNCwaer
 Поделиться

Рекомендуемые сообщения

eNCwaer

eNCwaer

Опубликовано
Опубликовано

Добрый день! Сегодня утром поймали шифровальщик.
В наименования файлов добавилось .le0
Так же всплывает текстовый документ со следующим содержимым:
"All your data has been locked us
You want to return?
Write email adk0@keemail.me"

Файлы в архиве
Пароль 123

Files.rar

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Расшифровки этого типа вымогателя нет.

 

Уберите разрешение на 180 порт в Брандмауэре

Цитата

FirewallRules: [{D1E60656-793D-46D0-A154-A15727478E1B}] => (Allow) LPort=180

 

Смените пароли на учётные записи администраторов и на подключение по RDP.

 

Проверьте уязвимые места системы:

Выполните скрипт в AVZ при наличии доступа в интернет: 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

eNCwaer

eNCwaer

Опубликовано
  • Автор
Опубликовано

Данный порт используется для IIS, насколько понимаю

Цитата

FirewallRules: [{D1E60656-793D-46D0-A154-A15727478E1B}] => (Allow) LPort=180

Sandor

Sandor

Опубликовано
Опубликовано

Возможно. Но это не значит, что в Брандмауэре должно быть пустое разрешение на какой-либо порт, пусть даже не стандартный.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Александр Олейников
      Зашифровали диски кроме основного
      Автор Александр Олейников
      Добрый день. Утром получил сообщение на рабочем столе
      To recover your data, contact us: rdata@onionmail.org
      Use only Google mail to contact us!
      The lowest price is valid only on the first day.
      Все разделы кроме С стали RAW
    • bagr
      Зашифровались диски кроме системного
      Автор bagr
      На удаленном рабочем сервере зашифровались данные и диски, зашифрованные файлы достать не удалось. После шифрования все файлы получили доп расширение .rdata а диски кроме основного на котором стоит ОС зашифрованы BitLocker
      В корне каждого пользователя лежат файлы NTUSER.DAT и несколько похожих файлов скриншот прилагаю в архиве так как не удалось данные файлы заархивировать.
      В каждом каталоге Readme.txt с сообщением злоумышленника
       
      Просканил FRST. Логи вместе с файлом readme.txt прилагаю в архиве

      FRST.rar
    • Вадим161
      поймали rdata, диски в RAW
      Автор Вадим161
      Добрый день! Злоумышленники попали на сервер, зашифровали часть файлов добавив .rdata.
      Диски в RAW.
      KES 12.11 версии вроде стоял, удален.
      Сообщение оставили с таким содержанием: 
      To recover your data, contact us: rdata@onionmail.org
      Use only Google mail to contact us!
      The lowest price is valid only on the first day.
      Что предпринять? Пробовал восстановить том с помощью AOMEI Partition Assistant Server - без успешно.
      Во пример шифрованного файла и сообщение.
      Downloads.zip
      FRST.txt
    • NikLev
      Шифровальщик .rdata
      Автор NikLev
      Столкнулись с проблемой шифрования файлов на удаленном рабочем сервере. После шифрования все файлы получили доп расширение .rdata а диски кроме основного на котором стоит ОС зашифрованы BitLocker. В корне каждого пользователя лежит файл NTUSER.DAT.
       
      В каждом каталоге README.TXT с сообщением злоумышленника 
      To recover your data, contact us: rdata@onionmail.org
      The lowest price is valid only on the first day.
       
      Просканил FRST. Логи прилагаю в архиве
       
      Логи FRST.rar
    • Zsv89
      Зашифровали diskcryptor
      Автор Zsv89
      неДобрый день. Поймали непонятным образом вирус,который зашифровал через diskcryptor.
       
      To recover your data, contact us: rdata@onionmail.org
      The lowest price is valid only on the first day.
       
      расширение .rdata

       
       
×
×
  • Создать...