Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Шифровальщик kilook200@gmail.com

Denis2023
 Поделиться

Рекомендуемые сообщения

Denis2023 Новичок

Denis2023

Опубликовано
Опубликовано (изменено)

Привет, шифровальщик пролез через RDP.
Зашифровал windows 2003 и windows 2008
Virustotal распознал так:

  Цитата

76b4b1350af292866fd3cba111c5809453f879e6def4c82b00b8e46ae5e532e2
kilook200@gmail.com_Manual.exe

Kaspersky
HEUR:Trojan-Ransom.Win32.Generic
Lionic
Trojan.Win32.Generic.4!c

e20eed5a214a9dc87115225992fb6247306a4ba01c983464228025287216687a
kilook200@gmail.com_Official.exe

Kaspersky
HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes
Malware.AI.3561248560

2eacea92686f336d2d9f83cb9b392ffdd62cf5ef713bfb039dd6335199ac7156
kilook200@gmail.com_Fast.exe

Kaspersky
HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes
Malware.AI.3561248560

2eacea92686f336d2d9f83cb9b392ffdd62cf5ef713bfb039dd6335199ac7156
Xinfecter.exe

Kaspersky
HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes
Malware.AI.3561248560

Показать  

Сервер 2003 зашифровался до потери загрузки системы, Сервер 2008 удалось выключить до окончания шифрования.
В обоих случаях имею такие файлы:
N-Save.sys - похоже на ssh-ключи для подключения к серверам шифровальщика
Restore_Your_Files.txt - файл с требованиями
S-2153.bat - запускает S-8459.vbs
S-8459.vbs - запускает S-6748.bat
S-6748.bat - тут вся логика шифрования с несколькими циклами  и проверками
В коне диска лежит R_cfg.ini с таким содержимым

  Цитата

Spath=C:\test.txt
Mode=1::1
AlterEncSz=2

Показать  

И сам файл test.txt - возможно это ключ шифрования, либо дешифровки test.txt

image.png.d408b91c1353353df1f89eeaf0a92ffe.png

 

Кроме того, зловред закинул целый архив kilook200@gmail.com.zip с содержимым
image.png.6f8579b852f6df00d27dc7ee57d982c6.png

и его же впоследствии зашифровал в kilook200@gmail.com.zip_[ID-HKHVN_Mail-kilook200@gmail.com].JDB
Получается, что у меня есть обе версии архива (нешифрованная и шифрованная) с возможным ключем шифрования, вдруг это чем-то поможет.

Логи сканера приложить не могу, т.к. оба сервера выключены, диски извлечены.
  

Restore_Your_Files.txtПолучение информации... test.txtПолучение информации...

Изменено пользователем Denis2023
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

  В 18.06.2023 в 22:51, Denis2023 сказал:

зловред закинул целый архив kilook200@gmail.com.zip

Показать  

Этот архив упакуйте ещё раз с паролем, выложите на файлообменник (или облако) и отправьте ссылку на скачивание мне личным сообщением, пожалуйста.

 

Тип вымогателя - GoodMorning Ransomware. Расшифровки нет, к сожалению.

Ссылка на комментарий
Поделиться на другие сайты
Denis2023 Новичок

Denis2023

Опубликовано
  • Автор
Опубликовано
  В 19.06.2023 в 05:42, Sandor сказал:

Здравствуйте!

 

Этот архив упакуйте ещё раз с паролем, выложите на файлообменник (или облако) и отправьте ссылку на скачивание мне личным сообщением, пожалуйста.

 

Тип вымогателя - GoodMorning Ransomware. Расшифровки нет, к сожалению.

Показать  

В личке ответил

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • АлександрЛ.
      Поймали шифровальщик decodehop@gmail.com
      Автор АлександрЛ.
      Добрый день!
       
      Большая просьба дать инструкции и помочь с дешифровкой, если это возможно.
       
      Названия файлов такие: 20151225_173456.jpg.[MJ-RZ8234915670](decodehop@gmail.com ).hop_dec.
    • bakankovaelena
      Пойман шифровальщик [nullhexxx@gmail.com].EAE6F491
      Автор bakankovaelena
      Сегодня утром были "обрадованы". Кто такой, какой тип не знаем. Есть только письмо от вымогателя и пара незашифрованных/зашифрованных файлов. Я сама не программист и с утилитой Farbar пока не справилась, надеюсь, что завтра кто-нибудь поможет и будет более полная информация.
      Файлы с файлами прилагаю
      OLD.7z
    • Hikasi21
      Столкнулись с шифровальщиком .hop_dec (decodehop@gmail.com)
      Автор Hikasi21
      Здравствуйте. 
      Зашифровались все файлы в домене, вирус запускался от имени администратора домена, для восстановления доступа злоумышленники требуют отправить данные на адреса decodehop@gmail.com или hopdec@aidmail.cc

      Лог FRST, пример зашифрованных файлов и архив с вирусом в приложении
       FRST_log.zip  
      encrypted_files.zip virus(password_123).zip
    • Run
      Все файлы переименованы и зашифрованы вида *.goodluck.k ; *.goodluck почта mattersjack768@gmail.com
      Автор Run
      Доброго времени суток, компьютер словил вирус шифровальщик все важные файлы переименованы и зашифрованы вида *.goodluck.k ;  *.goodluck почта mattersjack768@gmail.com в корне диска папка Keylock с файлом ky.DAT кто может помочь как можно вернуть все назад. Восстановление не помогает, файлы также не открываются.
      Логи собраны на лайф диске. Основная ОС Windows Server 2008 R2 по времени зашифрованы 25 февраля 2025 в 4:46
      FRST.txtфайлы зашифрованные.zipKeylock.zip
    • DmitriyDy
      Зашифрованы файлы *.goodluck.k ; mattersjack768@gmail.com ; Trojan.Encoder.37506
      Автор DmitriyDy
      ПК на Windows11, Windows 10, Windows 7
      Примерная дата шифрования с 17.01.2025
      На некоторых ПК на которых установлен Dr.Web, вирус удали практически все, даже сам Dr.Web.
      На некоторых ПК на которых установлен Dr.Web, вирус зашифровал часть файлов.
      На некоторых ПК на которых установлен Dr.Web, при загрузке Windows автоматом загружается пользователь HIguys
      На некоторых ПК на которых установлен Dr.Web, Dr.Web сработал и остановил вирус (отчеты прилагаю)
       
      Ответ поддержки Dr.Web: 
      В данном случае файл зашифрован Trojan.Encoder.37506.
      Расшифровка нашими силами невозможна
       
      Во вложеных файлах: 1. Zip архив в котором: Скрин письма о выкупе, скрин загрузки пользователя HIguys, отчеты Dr.Web, Зашиврованные файлы. 2. логи, собранные Farbar Recovery Scan
      Зашифрованные файлы+скрины+отчеты Dr.Web.zip Addition.txt FRST.txt
×
×
  • Создать...