Перейти к содержанию

Стали жертвой шифровальщика. Просьба сообщить варианты помощи по дешифрации


Рекомендуемые сообщения

Стали жертвой шифровальщика. Часть данных не смогли восстановить, а она является достаточно важной.

Шифровальщик заменяет файлы на свои - добавляя расширение.

Способ распространения странный - откуда заполз не понятно, работал он в рамках RDP сессий - очень похоже что идя по алфавиту.

Файлы после него стали все такие, например: 

x.backup.srv-fs.dayD2022-12-09T093032_6A47.vib.CRYPT

Во вложении файл с описанием что хочет вымогатель.

 

 

 

Снимок экрана 2022-12-12 в 11.13.50.png

Readme - How to recover encrypted files.html

Изменено пользователем alexeis
добавил файлы описания
Ссылка на комментарий
Поделиться на другие сайты

по всей видимости шифровальщик попал в локальную сеть через 2008 сервер с открытым наружу 443 портом

далее нашел хэш пароля административной записи и начал ходить по RDP и запускать себя и шифровать файлы

копии файлов он не создавал - просто шифровал и менял разрешение

после отключения учетной записи под которой он работал - шифрование прекратилось

 

теперь имеем тонну шифрованных файлов - которые крайне важно восстановить

копии вирус также успел пошировать

 

файла самого шифрователя найти не удалось

 

FRST.txt example.zip

Изменено пользователем Sandor
Убрал лог по просьбе ТС
Ссылка на комментарий
Поделиться на другие сайты

Хочу уточнить, здесь отвечают не сотрудники ЛК.

Если вам нужен официальный ответ компании, при наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

Некоторое время подождите, пробуем определить тип вымогателя.

 

Покажите, пожалуйста, последний отчёт обнаружений антивируса Eset. Можно скриншотом.

Ссылка на комментарий
Поделиться на другие сайты

антивирус его не увидел, поэтому не чего приложить.

тк позировало всю локалку - сейчас один из пострадавших сканируется вот этой вещью - может быть что то положительное покажет

предположительно это он:

image.thumb.png.10f9cd7e61a57f858b33895e5c231a56.png

image.thumb.png.5101ce5ee029b862fe8cd5ba51cbe3bc.png

Ссылка на комментарий
Поделиться на другие сайты

15 часов назад, alexeis сказал:

Способ распространения странный - откуда заполз не понятно

А был бы нормальный EDR с антивирусом, то достаточно быстро смогли расследовать инцидент. Судя по логам и компанию, которую вы представляете вас взломали еще в сентябре, а то и еще раньше. Запрос на расшифровку вы вероятно сделать не сможете, т.к. у вас вероятно нет лицензии на антивирус, а ESET куда бы вы могли обратиться за помощью ушел с рынка РФ. У вас вероятно это https://xakep.ru/2022/09/22/lockbit-leak/ чудо зашифровало файлы. 

Ссылка на комментарий
Поделиться на другие сайты

Подтверждаю, похоже на LockBit 3.0, только шифрование началось не в сентябре 18 года, а 2022-12-11 04:09

 

@alexeis, есть смысл обратиться в ЛК с запросом на расшифровку.

 

Помощь в очистке системы от следов вымогателя нужна или планируете переустановку?

Ссылка на комментарий
Поделиться на другие сайты

системы переустановили, теперь осталось понять как данные восстановить. пока оставили данные в стороне - ждем возможных вариантов дешифровки.

а каким образом обратиться в ЛК чтобы попробовать получить дешифровщик?

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, alexeis сказал:

а каким образом обратиться в ЛК чтобы попробовать получить дешифровщик?

Почитайте закрепленные темы в этом разделе. В них всё написано + ссылку вам уже давали в этой теме. 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • AJIEKCAHDP
      От AJIEKCAHDP
      Утром (26.02.2025) Зашифровало абсолютно все.  Помогите пож. 
      26022025.rar
    • Дмитрий71
      От Дмитрий71
      Шифровальщик AZOT зашифровал сервер 1с и просит денег. Подскажите, существуют ли варианты решения или всё в топку?( 
      в каталоге C:\DEC лежит как предполагаю декриптор 8772-decrypter.rar с паролем 
      Addition.txt FRST.txt
    • Zubarev211
      От Zubarev211
      Добрый день, поймали шифровальщик Xorist, зашифровали все файлы расширением *.er. Нужно было восстановить базу данных 1С. Из теневой папки получилось восстановить 1CD8.1CD
      Указанный файл не был зашифрован расширением .er, но при запуске выдавало ошибку о повреждении данных.

      Так же пытались вашим декриптором использовали пару 2х файлов, но так же получали ошибку(пробовали на документах ворд)

      Подскажите пожалуйста какие дальнейшие шаги нам нужно сделать, чтобы восстановить базу. Спасибо! 
    • Excommunicadoo
      От Excommunicadoo
      Помощь с шифровальщиком на хранилках NAS, расширение .lotus
      Помогите расшифровать(((

      В тхт файле пишут следующее:
       
      If you see this, your files were successfully encrypted.
      We advice you not to search free decryption method.
      It's impossible. We are using symmetrical and asymmetric encryption.
      ATTENTION:
          - Don't rename encrypted files.
          - Don't change encrypted files.
          - Don't use third party software.
      TIME IS RUNNING OUT:
          - The longer you wait, the more money you'll have to pay to get your files back.
            If you wait too long, you'll lose them forever.
      To reach an agreement we offer you to contact with us.
      How to contact with us: 
          * Download Tor Browser:
              Get the Tor Browser from https://torproject.org/download
          * Launch Tor Browser:
                  Open the Tor Browser on your device.
          * Connect to Tor Network:
                  Click "Establish a Connection".
          * Go to this address:
                  Copy and paste address below in the address bar:
    • Tadmin
      От Tadmin
      Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов.
      hopeandhonest@smime.ninja.zip
×
×
  • Создать...