phobos Зашифровано Phobos Ransomware EKING, update2020@airmail.cc

[djvmb]

На сервере используется ОС Windows 7 Pro x64.

 

Программистом 1С был подменен в системе DLL-файл скаченный из сети для обеспечения множественного входа на сервер терминалов, чтобы не устанавливать более дорогой Windows Server. Файл так же сохранен вместе с телом трояна а каталоге карантина от Dr. WEB CureIt!

 

Далее, им на роутере был проброшен порт 3306, несмотря на предупреждение!

 

Результат не заставил себя долго ждать: Trojan.Encoder.3953v5.

 

Прикладываю архив согласно установленным правилам.

CryptFileAndTroganFileInfo.zip

Изменено 8 марта, 2023 пользователем djvmb

[thyrex]

Расшифровки нет. Чистка мусора в системе нужна или система под переустановку?

[djvmb]

Нет, чистка не требуется. Система так или иначе под переустановку.

 

Спасибо! Придется огорчить директора предприятия клиента...

[Sergio59]

Тоже поймали на серваке 1С (взлом rdp) шифратор Phobos с указанием почты update2020@airmail.cc, в ходе переписки потребовали $1000 в битках, перевели! после чего они перестали выходить на связь! Не платите им!!!