criptomangizmo Новое шифрование файлов вымогателем на Google диске

[Devin]

Все файлы на Google диске зашифрованы вымогателем, который не определяется. Видимо новый?

Ко всем именам файлов к расширению добавляется: aaMp0vbm9

В файле txt указана почта вымогателя: carabas1337@proton.me

Подпись в файле txt: carabas

В процессе переписки вымогатель предлагает поторговаться. Начинает торги с 20 000$.

Высланный мной на почту вымогателя зашифрованный файл бы возвращен декодированным.

Изменено 4 апреля, 2023 пользователем Devin
добавил описание

[Devin]

во вложении 2 закодированных вымогателем файла

drive-download-20230404T052154Z-001.zip

[Sandor]

Здравствуйте!

 

31 минуту назад, Devin сказал:

В файле txt указана почта

Сам этот файл прикрепите к следующему сообщению (можно в архиве).

 

Логи по правилам раздела тоже сделайте - Порядок оформления запроса о помощи

[Devin]

К сожалению я удалил все файлы txt с предложением о выкупе. Логи так же сделать не могу, так как файлы находятся на удаленном компьютере, который в целях безопасности пока выключили.

[Sandor]

Два вопроса:

Вы самостоятельно дописали расширение .jpg к зашифрованным файлам?

Записка выглядела так - aaMp0vbm9.Readme.txt ?

[Devin]

Имя файла я не менял. jpg - это настоящее расширение зашифрованного файла.

Так со всеми именами. После реального расширения добавлено  aaMp0vbm9

Во вложении скриншот из проводника с зашифрованными файлами фотографий

Файл записки запросил у сис. админов (я все эти файлы из всех своих зашифрованных директорий удалил - были особые на то причины).

И я ошибся, думая, что каким то образом взломали мой гугл аккаунт.

Взломали компьютерную сеть на работе. А у меня на рабочем компьютере были папки, которые синхронизировались с гугл диском.

Все эти файлы были зашифрованы и соответственно синхронизированы с гугл диском.

Никогда не думал, что синхронизация может привести к таким последствиям :(. Нужно видимо делать периодически резервные копии на носители, не связанные с сетями.

[Sandor]

Однако в присланных вами файлах имена выглядят так:

Цитата

 

Ценник Новинка.jpg.aaMp0vbm9.jpg

Ценник стандарт.jpg.aaMp0vbm9.jpg

 

 

Ждём записку.

[Devin]

Во вложении файл вымогателя     aaMp0vbm9.README.txt

aaMp0vbm9.README.txt

[Sandor]

Как и предполагалось, это CriptomanGizmo, расшифровки нет, к сожалению.

[Sandor]

33 минуты назад, Devin сказал:

синхронизированы с гугл диском

А проверьте на самом Гугл-диске не сохранились ли предыдущие версии файлов?

 

Предварительно остановите синхронизацию с локальным диском рабочего компьютера.

[Devin]

На гугл диске были зашифрованы все файлы.

По совету Sandor я скачал с гугл диска предыдущую версия файла.

Несмотря на изменения в имени, скачанный файл открылся.

Во вложении оба файла. Зашифрованный и его предыдущая версия с изменение от начального имени файла, но не зашифрованная.

имя файла на гугл диске до шифрования:  служба охраны.jpg

имя зашифрованного файла на гугл диске:   служба охраны.jpg.aaMp0vbm9

имя предыдущей версии этого файла, скачанной с гугл диска: служба охраны.jpg.aaMp0vbm9.jpg

версии файлов.rar

[Sandor]

Хорошо, что так удачно всё получилось.

Рабочий компьютер надо бы проверить, а лучше определить виновника в локальной сети.

 

Возьмите на заметку - Рекомендации после удаления вредоносного ПО

[Devin]

Удачно получилось с самым малым количеством моих файлов, которые синхронизировались с гугл диском. Это наверное 5% от всего зашифрованного количества файлов на моем компьютере. У меня конечно есть его бэкап на переносном жестком диске, но на нем версиям больше года, а может и больше. Даже не помню когда я делал этот бэкап. В данный момент у меня нет физического доступа к этому диску чтоб узнать дату бэкапа. Самая большая проблема в моем случае может возникнуть не конечными файлами, созданными в разном ПО, а с файлами самого ПО. 

[Sandor]

1 час назад, Devin сказал:

Зашифрованный и его предыдущая версия

Увы, для этого типа вымогателя такая пара файлов ничем не поможет.