Перейти к содержанию

Шифровальщик Trojan.Encoder.35209 RCHAT

NiKoLa_N
 Поделиться

Рекомендуемые сообщения

NiKoLa_N

NiKoLa_N

Опубликовано
Опубликовано

Поймали сие с 8.03 на 9.03 ночью... Уничтожил контроллер домена, зашифровал даже системные файлы на С (ntldr, boot.ini) и все компьютеры в домене, которые были включены. Ко всем зашифрованным файлам добавлено расширение RCHAT

На одном из компьютеров остался сам шифровальщик. Есть пример зашифрованного файла и его копия до изменения. 

Вымогатели оставляют во всех папках файл readme.txt содержания: ""ID: FZCHQWYBARKXUYUQNYXNON Напиши в Telegram для восстановления файлов - @RansomChat  Канал публикации компаний которые не оплатили выкуп - @RansomRussia"

 

Пароль на архив с шифровальщиком 11111

 

Залогиниться на зараженные компьютеры (из тех, что загружаются) невозможно, пароли изменены.

 

 

Клиенты 3.10.xls.zip Клиенты 3.10.оригинальный.zip

NiKoLa_N

NiKoLa_N

Опубликовано
  • Автор
Опубликовано
11 часов назад, thyrex сказал:

И где?

 

Правила оформления запроса о помощи

 

В правилах прочитал, что "Внимание: не нужно самостоятельно прикреплять файлы вируса на форуме. " и убрал из сообщения. Можно добавить?

thyrex

thyrex

Опубликовано
Опубликовано

Можно выложить на обменник и прислать в ЛС ссылку на скачивание.

 

А правила выполнить придется всё равно.

  • Like (+1) 1
NiKoLa_N

NiKoLa_N

Опубликовано
  • Автор
Опубликовано

Понял. Ссылку с логами frst с одного из компьютером, который удалось включить и архив с обнаруженным файлом шифровальщика выложил на файлообменнике и ссылку скинул в личку.

 

Попробовали связаться с вымогателями по телеграму. Те ответили, что могут расшифровать 2 файла размером до 2 мегабайт в качестве подтверждения.

Отправили им 2 файла на расшифровку и началось "виляние"- то некогда, то позже и т.д.  Сутки уже прошли, расшифрованных файлов так и не скинули. Ощущение, что они и сами не могут расшифровать, только деньги собирают с пострадавших... 

thyrex

thyrex

Опубликовано
Опубликовано

Увы, с расшифровкой помочь не сможем

  • Печаль 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ИТ45
      Trojan.Encoder.35209
      Автор ИТ45
      Добрый день! Просим помощи у кого есть дешифратор
    • Констатин
      Вирус шифровальщик troyan.encoder.35209
      Автор Констатин
      Нужна помощь с расшифровкой файлов
      Addition.txt FRST.txt
    • Orbeatt
      Делюсь деширатором Sauron или Trojan.Encoder.35209. Может поможет комуто.
      Автор Orbeatt
      Ранее писал, поймали шифратор.
      Получили от злоумышленников дешифратор, делюсь с вами, может кому то поможет не платить деньги как мы.
       
      [ID-E5DAFA5D].zip
    • Andrew Vi Ch
      Шифровальщик Trojan.Encoder.31074
      Автор Andrew Vi Ch
      Добрый день.
      Поймали указанный шифровальщик, в системных логах были ошибки службы ngrok, перехватили AD, остановили KES, зашифрованы все виртуальные машины (Hyper-V), базы данных... в общем - 99% инфраструктуры. Вычищены теневые копии.
      Приложены архивы: 
      encrypted.zip - 2 зашифрованных файла + текстовик с единственной строкой "message us for decrypt" (расширение зашифрованных файлов .X1g2d2vbb)
      frst.zip - логи FRST
      lock.zip - запароленный в соответствии с инструкцией архив с исполняемым файлом шифровальщика.
      Прошу оказать содействие в расшифровке.
      Спасибо.
    • dsever
      Шифровальщик Trojan.Encoder.35534
      Автор dsever
      Сегодня после выходных обнаружили проблему. Два сервера - все данные зашифрованы.  основная проблема с 1С файлы зашифрованы + бэкапы тоже. DrWEB пишет, что вирус попал по RDP, "Файл шифровальщика находится по пути
      C:\users\администратор.win-8anssg9mkch\appdata\local\7af1be1c-1606-8166-99e6-80b4a9786b07\BABKAALYOEBALO.exe". Так же вирус зашифровал все расшаренные файлы на других серверах, но до баз SQL не добрался.
       
      BABKAALYOEBALO_DECRYPTION.txt
×
×
  • Создать...