Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте! Сегодня тоже подцепил шифровальщика, добавившего эти расширения. Требования содержаться в файле Instruction.txt:

https://www.dropbox.com/s/h74n5yl9lcjkz6u/Instruction.PNG?dl=0

 

Сообщение от модератора Mark D. Pearlstone
Перемещено из темы.
Ссылка на сообщение
Поделиться на другие сайты

Спасибо за ссылку на правила!

То, что файлы зашифрованы, обнаружилось около 14:15 31.01.2023. Проникновение произошло, скорее всего, через RDP. Файл Instruction.txt с требованиями был в корне каждого диска. Шифрованию не подверглись никакие файлы в папках Temp на всех дисках. Со времени обнаружения шифрования система не переустанавливалась и не перезагружалась. Были запущены CuteIt! и KVRT, ничего не удалялось. 

addition.txt 8s1lujv4rq.zip frst.txt

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Расшифровки этого типа вымогателя нет, к сожалению.

Наша помощь в очистке системы от его следов нужна или планируете переустановку?

Ссылка на сообщение
Поделиться на другие сайты

Добрый день! Планирую переустановить систему. Хотел уточнить, появления дешифровщика, если я правильно понял статью по ссылке, ждать не стоит?

 

Ссылка на сообщение
Поделиться на другие сайты

Да, маловероятно.

Появление возможно в двух случаях:

- злоумышленников ловят, изымают сервера и выкладывают ключи

- злоумышленники сами прекращают свою деятельность и тоже выкладывают ключи (или происохдит утечка)

И то и другое случается, но крайне редко.

Ссылка на сообщение
Поделиться на другие сайты

Возникло еще несколько вопросов:

1. На машине установлено несколько дисков. Система и программы только на одном, на остальных - только данные (pdf, mp4, jpg, png…). Достаточно ли будет для удаления шифровальщика отформатировать только системный диск и поставить на него чистую систему? 
2. Обнаруживается ли от этот шифровальщик при помощи KVRT (загрузка с чистой флешки или в безопасном режиме)? Хотелось бы проверить другие машины сети. 

3. Есть ли инструменты для подбора ключа для зашифрованных файлов тупым перебором (брут форс)? Срок в несколько лет приемлем. 

Ссылка на сообщение
Поделиться на другие сайты

1. Думаю, да.

2. На этот вопрос могут дать ответ только специалисты вирлаба.

3. На этот вопрос могут дать ответ только специалисты вирлаба.

Ссылка на сообщение
Поделиться на другие сайты

При наличии действующей лицензии на любой из коммерческих продуктов компании обратиться через личный кабинет на портале My Kaspersky

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Владимир В. А.
      От Владимир В. А.
      Добрый день!
       
      Windows 7 Pro x64
      Прошу помочь, с очисткой компа от вируса и дешифровкой файлов. Зашел по RDP, подобрал пароль к учетке и через неё зашел на три компа, пошифровал много чего (в том числе загрузочные записи испортил).
      В дальнейшем предполагаю переставить систему.
       
      Addition.txt files.zip FRST.txt
    • Zakhar Sergeich
      От Zakhar Sergeich
      Добрый день.
      При очистке ПК нашлись трояны mimikatz и mimilove.
      Есть ли шансы расшифровать?
      Desktop.zip Addition.txt FRST.txt
    • Drugov
      От Drugov
      Бодрый день, файлы с расширением doc xls pdf были переименованы в doc.PODSTAVLIAIPOPKU  xls.PODSTAVLIAIPOPKU  pdf.PODSTAVLIAIPOPKU. Подскажите как избавиться от самого вируса, расшифровывать не надо, есть бекап. Прилагаю файлы addition FRST. Заранее благодарен.
      Addition.txt FRST.txt
    • печалька
      От печалька
      Добрый День, поймали вирус шифровальщик, который аномально странно все зашифровал, удалил резервные копии Windows и ограничил в действиях ( нельзя зайти в панель управления, безопасный режим, выключить компьютер и т.д)
      Расширение файлов, тоже очень странное PODSAVLIAIPOPKU
      выдал информацию Trojan-PSW.Win32.Mimikatz.gen, Trojan.Win32.Generetic и Trojan-PSW.Win32.Mimilove.gen.
      В письме указали:
       
      PODSTAVLIAIPOPKU Ransomware
      ATTENTION!
      YOUR PERSONAL DECRYPTION ID - hhK9RYMlcsT41PQRP2piv8vBwFjL0Ga7sPRpzXCiNnY*PODSTAVLIAIPOPKU
      At the moment, your system is not protected.
      We can fix it and restore your files.
      To get started, send 1-2 small files to decrypt them as proof
      You can trust us after opening them
      2.Do not use free programs to unlock.
      OUR CONTACTS:
      1) TOX messenger (fast and anonymous)
      https://tox.chat/download.html
      Install qtox
      Press sign up
      Create your own name
      Press plus
      Put there our tox ID:
      E9164A982410EFAEBC451C1D5629A2CBB75DBB6BCDBD6D2BA94F4D0A7B0B616F911496E469FB
      And add me/write message
      2)ICQ - @PODSTAVLIAIPOPKU
      3)SKYPE - PODSTAVLIAIPOPKU Decryption
       
      Как, стало позже понятно, Файлы зашифрованы Trojan.Encoder.35534.
       
      К сожелению пока самостоятельно не удалось найти дешифровщик.
       
       
       
      PODSTAVLIAIPOPKU_DECRYPTION.txt
    • Lumen42
      От Lumen42
      Сегодня обнаружили зашифрованный сервер на ОС Windows Server 2008. С прекрипленными сообщениями во всех файлах:
      Panin Ransomware
      ATTENTION!
      YOUR PERSONAL DECRYPTION ID - jbx8rpLn3oxEIhsjTsxJ0cPNxgMViN6Z2ymanqkvDHA*PANIN
      At the moment, your system is not protected.
      We can fix it and restore your files.
      To get started, send 1-2 small files to decrypt them as proof
      You can trust us after opening them
      2.Do not use free programs to unlock.
      OUR CONTACTS:
      1) TOX messenger (fast and anonymous)
      https://tox.chat/download.html
      Install qtox
      Press sign up
      Create your own name
      Press plus
      Put there our tox ID:
      E9164A982410EFAEBC451C1D5629A2CBB75DBB6BCDBD6D2BA94F4D0A7B0B616F911496E469FB
      And add me/write message
      2)ICQ - @PANIN
      3)SKYPE - Panin Decryption
       
      Взлом предположительно был через RDP (пароль стоял стоковый)
      Addition.txt FRST.txt Desktop.rar
×
×
  • Создать...