Перейти к содержанию
Пройди опрос про новый продукт, получи приз

Ransomware DM7X4LO

Iwan Herdian
 Share Подписчики 1

Рекомендуемые сообщения

Iwan Herdian

Iwan Herdian 0

Опубликовано
Опубликовано (изменено)

Hi,

 

This morning I got infected by DM7X4LO. So many of my files have extension DM7X4LO

 

I got some messages like below:

 

Data on Your network was exfiltrated and encrypted.

Modifying encrypted files will result in permanent data loss!

Get in touch with us ASAP to get an offer:
1. Download and install Tor Browser from https://www.torproject.org/
2. Access User Panel at 
   

THIS IS YOUR PRIVATE USER PANEL ADDRESS, DO NOT SHARE IT WITH ANYONE!

See also:
  Visit our Blog: http://alphvmmm27o3abo3r2mlmjrpdmzle3rykajqc5xsj7j7ejksbpsa36ad.onion
  Social Media: https://twitter.com/search?q=%23alphv
  
Ÿ¤G"ø´%g%VÅÄg¼3ºþ"‰¤6-TÇŠÌ=æ c

 

kindly advise,

 

How to resolve this

 

Regards,

Ivan

Изменено пользователем Iwan Herdian
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 172

Опубликовано
Опубликовано

Hello,

Please read and do some analysis and attach the requested files - Порядок оформления запроса о помощи

You can use Google translate surely.

Briefly, we need a couple of encrypted documents and ransome note itself (not quoted).

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 172

Опубликовано
Опубликовано

Thank you for the logs.

I see several text files with random name:

Цитата

 

C:\Users\SONIA1437\8Rx3Ia6FGzncWG.txt

C:\Users\ksnproxy\v2iFUiRcIM7u4.txt

...

C:\ProgramData\fGveaffwPUsu8Cjg9L6RBlcfOivVU.txt

C:\MvU0Mr68S99BKWd0FCsheR.txt

 

Is that the same ransom note?

If so, please attach it also to your next message and we'll try to identify the ransom itself.

 

You have Kaspersky Endpoint Security for Windows installed, so you can ask the tech support directly via your Company Account.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 172

Опубликовано
Опубликовано (изменено)
  • Turn off antivirus until reboot.
  • Highlight following code: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\Users\020001437\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Task: {7FA88F2E-253D-461D-B328-2C9797DE17DE} - System32\Tasks\google_update => cmd.exe /c \\sonia.net\netlogon\xxx.exe 0hzlY -JmmQ0 -blk -fFAjpN24WLXkg7owTMas1O_fJPk -BR -rvi12 -u_W5fs -KP6qIH <==== ATTENTION
2023-04-27 08:30 - 2023-04-27 08:30 - 000000952 _____ C:\Users\SONIA1437\8Rx3Ia6FGzncWG.txt
2023-04-27 08:30 - 2023-04-27 08:30 - 000000952 _____ C:\Users\ksnproxy\v2iFUiRcIM7u4.txt
2023-04-27 08:30 - 2023-04-27 08:30 - 000000952 _____ C:\Users\DefaultAppPool\txXVP5yNoNo5gX4nAJgQ.txt
2023-04-27 08:30 - 2023-04-27 08:30 - 000000952 _____ C:\Users\Classic .NET AppPool\7I6th59OwDDYcfvTKXl43qtYI.txt
2023-04-27 08:30 - 2023-04-27 08:30 - 000000952 _____ C:\Users\ASP.NET v4.0\GE2Svjiim.txt
2023-04-27 08:30 - 2023-04-27 08:30 - 000000952 _____ C:\Users\ASP.NET v4.0 Classic\1e3UZalv5iH3745zT4n3Ce.txt
2023-04-27 08:30 - 2023-04-27 08:30 - 000000952 _____ C:\Users\020001437\4Ej4SK8ezF8.txt
2023-04-27 08:15 - 2023-04-27 08:15 - 000000952 _____ C:\ProgramData\fGveaffwPUsu8Cjg9L6RBlcfOivVU.txt
2023-04-27 08:12 - 2023-04-27 08:12 - 000000000 _____ C:\Windows\efDZDnJTY11KMnLhGYiHk.exe
2023-04-27 08:11 - 2023-04-27 08:11 - 000000952 _____ C:\MvU0Mr68S99BKWd0FCsheR.txt
2023-04-27 08:09 - 2023-04-27 08:09 - 000003740 _____ C:\Windows\system32\Tasks\google_update
Zip:C:\Windows\efDZDnJTY11KMnLhGYiHk.exe
FCheck: C:\Windows\efDZDnJTY11KMnLhGYiHk.exe [2023-04-27] <==== ATTENTION (zero byte File/Folder)
FirewallRules: [{53F27307-030B-4EE7-9BB5-549E71EEB61E}] => (Allow) LPort=90
FirewallRules: [{50CD2627-5609-4786-B4FC-48204C2AFDDC}] => (Allow) LPort=90
FirewallRules: [{3C66CF85-EAED-4D72-B9CC-2D8D13D575C1}] => (Allow) LPort=1688
FirewallRules: [{C9C5EDB3-6F8E-4C61-A73F-0AE383E2F0C5}] => (Allow) LPort=8501
FirewallRules: [{3D530FAE-2FFD-4941-8B82-92395067F82F}] => (Allow) LPort=8501
Zip: c:\FRST\Quarantine\
Reboot:
End::

     

  • Copy highlighted (right click - copy).
  • Run file C:\Users\SONIA1437\Downloads\FRST64.exe as administrator.
  • Press Fix button and wait. Program will create (Fixlog.txt). Attach it to your next message.


PC will reboot. Find at your Desktop file named Date_Time.zip and send it to this address: quarantine <at> safezone.cc (replase <at> to @).

 

Unfortunately there is no known method to decrypt this kind of ransom.

Nevertheless it is good idea to tell about it to tech support as I mentioned before.

 

Later on we'll give you recomendations to protect your system.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Николай Оберзиммер
      Программы-вымогатели.
      От Николай Оберзиммер
      Я стал жертвой вируса «gaze» (программы-вымогатели) в режиме онлайн. Теперь у меня все файлы зашифрованы (gaze). Как я могу восстановить свои файлы в исходное состояние?
    • malcolmxxx
      What is this like? Anyone found a solution?
      От malcolmxxx
      Hello guys,
      I am writing from Turkey. Please help.
      I don't know much about English and Russian, please excuse me, I'm sure you will understand.
      details and extension are as follows !
      can you help me ? You're welcome.
      ------------------------------

       
      Hi!
      All your files have been encrypted with Our virus.
      Your unique ID: 8-kHRuHwJCEzK9plqHQBRCDTLGAgzGS287zgQONpqjg*bigspermhorseballs

      You can buy fully decryption of your files
      But before you pay, you can make sure that we can really decrypt any of your files.
      The encryption key and ID are unique to your computer, so you are guaranteed to be able to return your files.
      To do this:
      1) Send your unique id 8-kHRuHwJCEzK9plqHQBRCDTLGAgzGS287zgQONpqjg*bigspermhorseballs and max 3 files for test decryption
      OUR CONTACTS
      1.1)TOX messenger (fast and anonimous)
      https://tox.chat/download.html
      Install qtox
      press sing up
      create your own name
      Press plus
      Put there my tox ID
      95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
      And add me/write message
      1.2)ICQ Messenger
      ICQ live chat which works 24/7 - @Bigspermhorseballs
      Install ICQ software on your PC here https://icq.com/windows/ or on your smartphone search for "ICQ" in Appstore / Google market
      Write to our ICQ @Bigspermhorseballs https://icq.im/Bigspermhorseballs
      1.3)Skype 
      Bigspermhorseballs DECRYPTION
      1.4)Mail (write only in critical situations bcs your email may not be delivered or get in spam)
      * Bigspermhorseballs@onionmail.org
      In subject line please write your decryption ID: 8-kHRuHwJCEzK9plqHQBRCDTLGAgzGS287zgQONpqjg*bigspermhorseballs
      2) After decryption, we will send you the decrypted files and a unique bitcoin wallet for payment.
      3) After payment ransom for Bitcoin, we will send you a decryption program and instructions. If we can decrypt your files, we have no reason to deceive you after payment. 
      FAQ:
      Can I get a discount?
          No. The ransom amount is calculated based on the number of encrypted office files and discounts are not provided. All such messages will be automatically ignored. If you really only want some of the files, zip them and upload them somewhere. We will decode them for free as proof.
      What is Bitcoin?
          read bitcoin.org
      Where to buy bitcoins?
                 https://www.alfa.cash/buy-crypto-with-credit-card (fastest way)
                 buy.coingate.com
          https://bitcoin.org/en/buy
          https://buy.moonpay.io
                 binance.com
          or use google.com to find information where to buy it
      Where is the guarantee that I will receive my files back?
          The very fact that we can decrypt your random files is a guarantee. It makes no sense for us to deceive you.
      How quickly will I receive the key and decryption program after payment?
          As a rule, during 15 min
      How does the decryption program work?
          It's simple. You need to run our software. The program will automatically decrypt all encrypted files on your HDD.
    • mike 1
      Вебинар: Омерзительная восьмёрка: техники, тактики и процедуры (TTPs) группировок шифровальщиков
      От mike 1
      Видеозапись вебинара:
       
       
      Ransomware постоянно совершенствуется, ищет новые способы блокировки ваших данных и за счет этого становится чуть ли не самым распространённым видом вредоносного ПО. Но эксперты «Лаборатории Касперского» знают, как бороться с атаками шифровальщиков!
       
      В этом видео эксперты Лаборатории Касперского расскажут про восемь наиболее известных группировок вымогателей, стадии атак и их инструменты: 
       
      1. Расскажем о тактиках, техниках и процедурах (ТТРs), которыми владеют крупные банды вымогателей.
      2. Проведем обзор современного ландшафта программ-вымогателей.
      3. Покажем сравнительный анализ групп программ-вымогателей.
      4. Представим Сyber Kill Chain и ответим на самые интересные и актуальные вопросы.
       
      Подробнее о решении Kaspersky Threat Intelligence можно узнать по этой ссылке
      Скачать полную версию аналитического отчета на русском языке. 
       
      Таймкоды:
       
      00:00:00 – Приветствие
      00:00:50 – Почему мы снова говорим о шифровальщиках
      00:03:10 – Общая информация по шифровальщикам
      00:04:30 – Три мифа о шифровальщиках
      00:06:10 – Экосистема «вымогательского» бизнеса
      00:09:00 – График появления новых группировок Ransomware
      00:09:30 – Восемь наиболее активных групп Ransomware
      00:10:50 – Cyber Kill Chain
      00:14:00 – Модель F2T2EA
      00:15:20 – Intelligence Driven Defense
      00:18:00 – MITRE ATT&CK
      00:20:10 – Common TTPs
      00:27:00 – Жертвы вымогателей
      00:29:50 – Техники вымогателей
      00:32:00 – Митигация
      00:37:00 – Правила SIGMA
      00:37:40 – Лучшая защита от шифровальщиков
      00:41:40 – Ключевые элементы защиты
      00:44:30 – Ответы на вопросы
       
    • Timur1
      Шифровальщик .OOH
      От Timur1
      Всем привет!

      Несколько недель назад шифровальщик (.OOH) зашифровал все файлы, которые находились в Общей папке. Еще раз только общая папка была подвержена атаке. 
      На каждом файле есть такая надпись "id[289E1C38-3308].[gdecryptor5@onionmail.org].OOH".
       
      Перепробовали все бесплатные ransomware утилиты от Касперского, Аваста и тд. Не помогло. Антивирусы не находят ничего.
       
      Что я могу еще попробовать?
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Помощь в удалении вирусов".
    • LamerMan
      Помощь с расшифровкой Elbie Ransomware
      От LamerMan
      Здравствуйте, 04.10.2022 на комп попал вирус-шифровальщик Elbie Ransomware, все файлы стали с расширением .lnk.id[E2638681-3398].[helprequest@techmail.info].Elbie
      Обратились в компанию по расшифровке, сказали цену 250 тыс. рублей. Сотрудник подключился удаленно и просканировал систему, оставив за собой софт(приложу во вложения)
      На момент заражения был открыт порт 3389 и настроено рдп с несложными паролями, на компе стоял Kaspersky Free (AVP21.3), есть предположение, что злоумышленник ботнетом пинговал айпишники с к классическими портами, затем забрутфорсил пароль
      Программа сотрудника аутсорс компании сканирует файлы, а затем выдает какой-то код, я так и не разобрался что с ним делать, он сказал что этим кодом пишется дешифратор. Так же там есть .exe программа, в которой ей кнопка decrypt, но она требует какой-то ключ, надеюсь, найдется человек, который сможет с этим разобраться
      Elbie Decrypt.zip
×
×
  • Создать...