Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Шифровальщик elbie

Роман Ермошкин

Автор Роман Ермошкин
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Роман Ермошкин Новичок

Роман Ермошкин

Опубликовано
Опубликовано (изменено)

Судя по дате изменения файлов, вчера в районе 23.30, сработал вирус-вымогатель Elbie. Обнаружилось это сегодня утром, на рабочем столе было открыто окно вымогателя, Kaspersky Endpoint security 11.11 при этом в трее не отображался. К компьютеру было разрешено подключение по RDP. Его срочно выключили. Для подготовки запроса компьютер снова включили, KES запустился в штатном режиме.

FRST.txt Addition.txt

Изменено пользователем Роман Ермошкин
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Образцы зашифрованных документов и записку с требованием выкупа (info.txt) упакуйте в архив и прикрепите к следующему сообщению.

Но сразу скажу, расшифровки скорее всего нет.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Увы, это Phobos, расшифровки нет.

Пароли администраторов меняйте.

Помощь в очистке системы от следов вымогателя нужна или будет переустановка?

 

Выпускать RDP наружу - плохая практика, рано или поздно будет взломан. Прячьте за VPN.

Ссылка на комментарий
Поделиться на другие сайты
Роман Ермошкин Новичок

Роман Ермошкин

Опубликовано
  • Автор
Опубликовано

Да, читал, что нет, но надежда умирает последней.

Будем переустанавливать начисто.

RDP включали временно, чтобы бухгалтер из дома мог работать, VPN некогда было настраивать, собирались отключить, да не успели.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KOMK
      Шифровальщик zimmer1488
      Автор KOMK
      Доброго времени суток.
      Поймали шифровальщик.Атакована вся организация. Выясняем источник откуда и как,но раскидался он по рдп на как минимум 7 рабочих мест, включая серв  АД и 1С. Так же на одном из предполагаемых источников заражения была обнаружена программа Everything API и крипто-программа КАРМА,мб оно как-то даст какую-то полезность?
      А так же папка с файлами именованная как "automim1"?
      Скажите вообще есть ли надежда что как-то можно найти остатки шифровальщика? Шифрованные файлы и файл записку прилагаю в архиве с паролем "virus":
      Остальное не знаю как добавить,вес больше 5мб получается.
       
      sekr_2.7z
    • Игорь_Белов
      Шифровальщик AES
      Автор Игорь_Белов
      Доброго времени суток. 
      Прошу помощи, словил вирус шифровальщик, недавно созданный сервер для теста 1с, поймал вирус, файлы баз данных зашифровались. 
      Прошу помочь в определение вируса, по возможности расшифровать. И как его побороть.
       
      scan.zip
    • __Михаил__
      Шифровальщик IxehUe8Rg
      Автор __Михаил__
      Добрый! 
      Пожалуйста, помогите расшифровать файлы на компьютере.
      Шифровальщик IxehUe8Rg.
      Файлы образцы и требование выкупа во вложении.
      Анализ_2.xlsx.rar
       
      Я так понимаю это CriptomanGizmo и с ним проблема.
      У меня есть несколько копий файлов не зашифрованных , с другого устройства.
      Может это поможет?
    • Stanislav42
      шифровальщик .Elons
      Автор Stanislav42
      Добрый день! Пострадало несколько windows-устройств от действий шифровальщика и вымогает за расшифровку деньги.
      Прошу оказать помощь в расшифровке файлов.
      Отправляю архив с образцами файлов и с текстом требований, а также логи FRST.
      Шифрование произошло в ночное время. Журнал событий Windows очищен. Устройства перезагружались.
      Системы изолированы на данный момент. Исполняемый файл найден и подготовлен к отправке. 
      образцы файлов.zip Addition.txt FRST.txt
    • foroven
      Шифровальщик @FEAR.PW
      Автор foroven
      Добрый день. Схватили шифровальщика. Предположительно взломали подбором пароля к RDP. В сети Logs$files.7zна компьютере с установленным антивирусом Касперского, выдал предупреждение об атаке, брутфорс на порт 3389
×
×
  • Создать...