Перейти к содержанию

Шифровальщик kilook200@gmail.com

Denis2023
 Поделиться

Рекомендуемые сообщения

Denis2023

Denis2023

Опубликовано
Опубликовано (изменено)

Привет, шифровальщик пролез через RDP.
Зашифровал windows 2003 и windows 2008
Virustotal распознал так:

Цитата

76b4b1350af292866fd3cba111c5809453f879e6def4c82b00b8e46ae5e532e2
kilook200@gmail.com_Manual.exe

Kaspersky
HEUR:Trojan-Ransom.Win32.Generic
Lionic
Trojan.Win32.Generic.4!c

e20eed5a214a9dc87115225992fb6247306a4ba01c983464228025287216687a
kilook200@gmail.com_Official.exe

Kaspersky
HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes
Malware.AI.3561248560

2eacea92686f336d2d9f83cb9b392ffdd62cf5ef713bfb039dd6335199ac7156
kilook200@gmail.com_Fast.exe

Kaspersky
HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes
Malware.AI.3561248560

2eacea92686f336d2d9f83cb9b392ffdd62cf5ef713bfb039dd6335199ac7156
Xinfecter.exe

Kaspersky
HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes
Malware.AI.3561248560

Сервер 2003 зашифровался до потери загрузки системы, Сервер 2008 удалось выключить до окончания шифрования.
В обоих случаях имею такие файлы:
N-Save.sys - похоже на ssh-ключи для подключения к серверам шифровальщика
Restore_Your_Files.txt - файл с требованиями
S-2153.bat - запускает S-8459.vbs
S-8459.vbs - запускает S-6748.bat
S-6748.bat - тут вся логика шифрования с несколькими циклами  и проверками
В коне диска лежит R_cfg.ini с таким содержимым

Цитата

Spath=C:\test.txt
Mode=1::1
AlterEncSz=2

И сам файл test.txt - возможно это ключ шифрования, либо дешифровки test.txt

image.png.d408b91c1353353df1f89eeaf0a92ffe.png

 

Кроме того, зловред закинул целый архив kilook200@gmail.com.zip с содержимым
image.png.6f8579b852f6df00d27dc7ee57d982c6.png

и его же впоследствии зашифровал в kilook200@gmail.com.zip_[ID-HKHVN_Mail-kilook200@gmail.com].JDB
Получается, что у меня есть обе версии архива (нешифрованная и шифрованная) с возможным ключем шифрования, вдруг это чем-то поможет.

Логи сканера приложить не могу, т.к. оба сервера выключены, диски извлечены.
  

Restore_Your_Files.txt test.txt

Изменено пользователем Denis2023
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

6 часов назад, Denis2023 сказал:

зловред закинул целый архив kilook200@gmail.com.zip

Этот архив упакуйте ещё раз с паролем, выложите на файлообменник (или облако) и отправьте ссылку на скачивание мне личным сообщением, пожалуйста.

 

Тип вымогателя - GoodMorning Ransomware. Расшифровки нет, к сожалению.

Denis2023

Denis2023

Опубликовано
  • Автор
Опубликовано
2 часа назад, Sandor сказал:

Здравствуйте!

 

Этот архив упакуйте ещё раз с паролем, выложите на файлообменник (или облако) и отправьте ссылку на скачивание мне личным сообщением, пожалуйста.

 

Тип вымогателя - GoodMorning Ransomware. Расшифровки нет, к сожалению.

В личке ответил

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • freespect
      Шифровальщик m0r0kt34m@gmail.com
      Автор freespect
      Доброго времени суток!

      Столкнулся с неизвестным типом шифровальщика, антивирус его никак не обнаружил.
      Прикрепляю архив с примерами зашифрованного и оригинального файлов. К сожалению, больше информации на данный момент нету.
      Заранее спасибо!
      crypt.rar
    • АлександрЛ.
      Поймали шифровальщик decodehop@gmail.com
      Автор АлександрЛ.
      Добрый день!
       
      Большая просьба дать инструкции и помочь с дешифровкой, если это возможно.
       
      Названия файлов такие: 20151225_173456.jpg.[MJ-RZ8234915670](decodehop@gmail.com ).hop_dec.
    • Kreout
      Шифровальщик (aaleenthomas@gmail.com).GAYGUY
      Автор Kreout
      Добрый день. Поймал примерно две недели назад неизвестного шифровальщика. Файла вируса не осталось. ОС переустановил.  Помогите, пожалуйста. 
      шифрованные файлы и инструкция.rar Addition.txt FRST.txt
    • Hikasi21
      Столкнулись с шифровальщиком .hop_dec (decodehop@gmail.com)
      Автор Hikasi21
      Здравствуйте. 
      Зашифровались все файлы в домене, вирус запускался от имени администратора домена, для восстановления доступа злоумышленники требуют отправить данные на адреса decodehop@gmail.com или hopdec@aidmail.cc

      Лог FRST, пример зашифрованных файлов и архив с вирусом в приложении
       FRST_log.zip  
      encrypted_files.zip virus(password_123).zip
    • bakankovaelena
      Пойман шифровальщик [nullhexxx@gmail.com].EAE6F491
      Автор bakankovaelena
      Сегодня утром были "обрадованы". Кто такой, какой тип не знаем. Есть только письмо от вымогателя и пара незашифрованных/зашифрованных файлов. Я сама не программист и с утилитой Farbar пока не справилась, надеюсь, что завтра кто-нибудь поможет и будет более полная информация.
      Файлы с файлами прилагаю
      OLD.7z
×
×
  • Создать...