Перейти к содержанию

Шифровальщик с раширением .MZMPDXbNS


Рекомендуемые сообщения

23.11.23 ориентировочно в 0:00 файлы были зашифрованы. 
Зашифрованы сервера, сетевая папки и 2 рабочие станции. Из esxi удалены файлы виртуальных машин.
 

Ссылка на сообщение
Поделиться на другие сайты

Shortcut.txt Addition.txt FRST.txt crypted_files.rar MZMPDXbNS.README.txt

 

5 часов назад, adm40divit сказал:

Из esxi удалены файлы виртуальных машин.

 

В Esxi все файлы зашифрованы с раcширением COMET 

Ссылка на сообщение
Поделиться на другие сайты

"Как и раньше злоумышленники используют в атаках зашифрованную версию программы LockBit 3 (Black), созданную с помощью одной и той же версии утекшего в открытый доступ билдера LockBit 3 (Black). Для Linux-систем атакующие используют вымогателя, созданного на основе исходных кодов Babuk".

https://xakep.ru/2023/09/26/shadow-c0met/

 

"All your files have been stolen and encrypted by C0MET"

 

Логи FRST переделайте, пожалуйста, от имени Администратора.

Quote

Запущено с помощью test3 (ВНИМАНИЕ: Пользователь не является Администратором) на WS-009 (23-11-2023 09:56:50)

+

На зашифрованных устройствах (ПК и сервера) везде шифрование с расширением *..MZMPDXbNS?

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Если файл на устройство был загружен через домен, то с большой вероятностью он собран с запуском через пароль, сейчас проверю. (да, он зашифрован с паролем. Warning: Data will be decrypted without helper code.) возможно, где то может быть задача с запуском этого файла, и там должен быть указан пароль с которым он должен быть запущен.

--------

файл архива можно удалить, так как не рекомендуется загружать на форум вредоносные файлы в архиве без пароля.

 

+

проверьте ЛС

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

К сожалению, расшифровка файлов после Lockbit v3Black/CryptomanGizmo невозможна без приватного ключа.

Сохраните важные зашифрованные файлы на отдельный носитель, возможно в будущем расшифровка станет возможной.

Пока единственный способ защититься -зашита от проникновения, актуальная антивирусная защита всех узлов, наличие бэкапов.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • quietstorm
      От quietstorm
      Добрый день, аналогичная проблема. Тоже шифровальщик с таки же расширением .j8mzhi9uZ
      Диск был изъят и просмотрен на другой машине. 1c.cmd closeapps.bat LogDelete.bat Shadow.bat и еще подозрительные файлы были найдены в папке шаблоны документов office.  Могу предположить что заражение через открытие офисного файла.

      Ссылка на архив с вышеуказанными файлами, запиской, образцом, и подозрительными exe  файлами. Может поможет в борьбе, так как мне тоже требуется помощь.

      Пароль  virus
      Ссылка на диск так как вес 11мб
      https://disk.yandex.ru/d/fx6tPxT_ae9i-w
    • Twindekar
      От Twindekar
      Добрый день!
      12.02 были зашифрованы файлы на ПК, расширение файлов j8mzhi9uZ. На рабочем столе установлена картинка с надписью "LockBit Black. All your important files are stolen and encrypted! You must find j8mzhi9uZ.README.txt file and follow the instruction!"
      В архив "Virus" приложил два файла .exe, которые определились утилитой KVRT, как опасные, также были определены на VirusTotal. Также в папке с вирусами есть подозрительные файлы со следующими наименованиями:
      backup.bat, closeapps.bat, LogDelete.bat, Shadow.bat
      Logs_files.rar Virus.rar

    • Yuri1978
      От Yuri1978
      шифровальщик DARCSTAR зашифровал файлы расширением  tomqsbh0u. реально их восстановить?
    • Андрей Ф
      От Андрей Ф
      вчера зашифровались файлы. 
      расширение qe9ZSDxfq
      есть и README с вымогательством , найден и сам updater.exe и svchost (которые полагаю шифровальщик). при необходимости можно найти оригиналы некоторых файлов до шифрования ( на сервере)
      приложу отчет FRST , несколько зашифрованных файлов и текст от вымогателей. Файлы exe при необходимости вышлю
      FRST.txt Addition.txt зашированные.zip
    • Михаил Н
      От Михаил Н
      Как расшифровать?
×
×
  • Создать...