conti Шифровальщик Trojan.Encoder.35209 RCHAT

[NiKoLa_N 0]

Поймали сие с 8.03 на 9.03 ночью... Уничтожил контроллер домена, зашифровал даже системные файлы на С (ntldr, boot.ini) и все компьютеры в домене, которые были включены. Ко всем зашифрованным файлам добавлено расширение RCHAT

На одном из компьютеров остался сам шифровальщик. Есть пример зашифрованного файла и его копия до изменения. 

Вымогатели оставляют во всех папках файл readme.txt содержания: ""ID: FZCHQWYBARKXUYUQNYXNON Напиши в Telegram для восстановления файлов - @RansomChat  Канал публикации компаний которые не оплатили выкуп - @RansomRussia"

 

Пароль на архив с шифровальщиком 11111

 

Залогиниться на зараженные компьютеры (из тех, что загружаются) невозможно, пароли изменены.

 

 

Клиенты 3.10.xls.zip Клиенты 3.10.оригинальный.zip

[thyrex 1 411]

13 часов назад, NiKoLa_N сказал:

Пароль на архив с шифровальщиком 11111

И где?

 

Правила оформления запроса о помощи

[NiKoLa_N 0]

11 часов назад, thyrex сказал:

И где?

 

Правила оформления запроса о помощи

 

В правилах прочитал, что "Внимание: не нужно самостоятельно прикреплять файлы вируса на форуме. " и убрал из сообщения. Можно добавить?

[thyrex 1 411]

Можно выложить на обменник и прислать в ЛС ссылку на скачивание.

 

А правила выполнить придется всё равно.

[NiKoLa_N 0]

Понял. Ссылку с логами frst с одного из компьютером, который удалось включить и архив с обнаруженным файлом шифровальщика выложил на файлообменнике и ссылку скинул в личку.

 

Попробовали связаться с вымогателями по телеграму. Те ответили, что могут расшифровать 2 файла размером до 2 мегабайт в качестве подтверждения.

Отправили им 2 файла на расшифровку и началось "виляние"- то некогда, то позже и т.д.  Сутки уже прошли, расшифрованных файлов так и не скинули. Ощущение, что они и сами не могут расшифровать, только деньги собирают с пострадавших... 

[thyrex 1 411]

Увы, с расшифровкой помочь не сможем