Перейти к содержанию

Шифровальщик с раширением .MZMPDXbNS

adm40divit
 Share Подписчики 0

Рекомендуемые сообщения

adm40divit

adm40divit 0

Опубликовано
Опубликовано

23.11.23 ориентировочно в 0:00 файлы были зашифрованы. 
Зашифрованы сервера, сетевая папки и 2 рабочие станции. Из esxi удалены файлы виртуальных машин.
 

Ссылка на сообщение
Поделиться на другие сайты
adm40divit

adm40divit 0

Опубликовано
  • Автор
Опубликовано

Shortcut.txt Addition.txt FRST.txt crypted_files.rar MZMPDXbNS.README.txt

 

5 часов назад, adm40divit сказал:

Из esxi удалены файлы виртуальных машин.

 

В Esxi все файлы зашифрованы с раcширением COMET 

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 112

Опубликовано
Опубликовано (изменено)

"Как и раньше злоумышленники используют в атаках зашифрованную версию программы LockBit 3 (Black), созданную с помощью одной и той же версии утекшего в открытый доступ билдера LockBit 3 (Black). Для Linux-систем атакующие используют вымогателя, созданного на основе исходных кодов Babuk".

https://xakep.ru/2023/09/26/shadow-c0met/

 

"All your files have been stolen and encrypted by C0MET"

 

Логи FRST переделайте, пожалуйста, от имени Администратора.

Quote

Запущено с помощью test3 (ВНИМАНИЕ: Пользователь не является Администратором) на WS-009 (23-11-2023 09:56:50)

+

На зашифрованных устройствах (ПК и сервера) везде шифрование с расширением *..MZMPDXbNS?

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 112

Опубликовано
Опубликовано (изменено)

Если файл на устройство был загружен через домен, то с большой вероятностью он собран с запуском через пароль, сейчас проверю. (да, он зашифрован с паролем. Warning: Data will be decrypted without helper code.) возможно, где то может быть задача с запуском этого файла, и там должен быть указан пароль с которым он должен быть запущен.

--------

файл архива можно удалить, так как не рекомендуется загружать на форум вредоносные файлы в архиве без пароля.

 

+

проверьте ЛС

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 112

Опубликовано
Опубликовано (изменено)

К сожалению, расшифровка файлов после Lockbit v3Black/CryptomanGizmo невозможна без приватного ключа.

Сохраните важные зашифрованные файлы на отдельный носитель, возможно в будущем расшифровка станет возможной.

Пока единственный способ защититься -зашита от проникновения, актуальная антивирусная защита всех узлов, наличие бэкапов.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • S14Y3R
      PC Locker 3.0 от Mr. Robot
      От S14Y3R
      При попытке скачать программу VoiceMod с телеграм-канала Voicemod Pro и запуске из него файла Voicemod_setup.exe поймал вирус-шифровальщик вымогатель LockBit 3.0, который зашифровал всё содержимое Рабочего стола, папок Загрузки, Документы, Музыка, Изображения, Видео, и насоздавал кучу текстовых файлов с требованиями злоумышленников в каждой папке, включая App Data. Помимо зашифрования файлов был отключён и сделан неактивным Windows Defender, и теперь периодически (после каждого перезапуска (перезагрузки) системы поначалу всё хорошо, но оптом вылезает эта надпись в правом нижнем углу) слетает активация самой Windows с ошибкой "Не удаётся активировать Windows на этом устройстве, так как наши серверы активации на данный момент недоступны...", код ошибки - 0x80072EE7
      FRST.txt Addition.txt 3R9qG8i3Z.README.txt зашифрованные файлы.zip
    • ершик
      Попался шифровальщик при установки программы, какой именно не знаю, увидел только сейчас
      От ершик
      3R9qG8i3Z.README.txt
    • RAUMANAGOYA
      PC Locker 3.0 от Mr. Robot
      От RAUMANAGOYA
      Поймал вирус шифровальщика-вымогателя, скачивая с телеграмма VoiceModPro. Файлы из папок видео, документы, изображения, appdata зашифрованы
      Формат любого с этих файлов - .3R9qG8i3Z
      3R9qG8i3Z.README.txt FRST.txt Addition.txt WinRAR ZIP archive.zip
    • uno
      Шифровальщик с расширением .9awMfgjsn
      От uno
      Здравствуйте,
      К одному из старых серверов подключились злоумышленники и зашифровали все файлы, расширение теперь .9awMfgjsn. Бэкапы делались на отдельный диск на той же машине и тоже зашифрованы. Требуют выкуп в размере суммы которых у нас нет.. Есть ли вероятность хотя бы частичной расшифровки?
      имя записки о выкупе: 9awMfgjsn.README.txt
      На момент обнаружения сервер был перезагружен, семпл шифровальшика не был найден.
      9awMfgjsn.README.txt 9awMfgjsn.zip Addition.txt FRST.txt
    • Tadashy
      Шифровальщик с расширением .XgihMbuy9
      От Tadashy
      Здравствуйте. Собственно проник вирус, зашифровал файлы, расширение теперь .XgihMbuy9
      Затронуты файлы с расширением .xlsx .doc .jpeg .rar
      Пробовал утилиты из двух источников: nomoreransom и noransom.kaspersky.com но ничего из этого не сработало.
      data.rar Addition.txt FRST.txt
×
×
  • Создать...