Перейти к содержанию

Произошёл взлом через RDP - зашифровали сервера. Возможна ли расшифровка файлов каким-либо ПО?


Рекомендуемые сообщения

Опубликовано

Здравствуйте.
27.11.2023 была атака на сеть предприятия по RDP(зашли по 3389 порту на ПК администратора системы). Далее, через ПК администратора, были также по RDP заражены ещё 2 сервера предприятия.
Вложения:
"unlock-info.txt" - письмо от мошенников. Вирус немного похож на ouroboros (Так его детектировал Eset).
Внутри архива сам вирус-шифрователь *.exe (пароль к архиву 12345).
---
Заранее благодарен за внимание к проблеме.
Очень надеюсь на положительный результат.

unlock-info.txt filescoder@gmail.com(пароль_на_архив_12345).rar

Опубликовано (изменено)

Файлы зашифрованы VoidCrypt/Ouroboros

https://www.virustotal.com/gui/file/c6509f1366d1c03763748f91d5bab7352a51fd31730192772f584e9af6e1cd2c?nocache=1

 

К сожалению, расшифровки по VoidCrypt/Ouroboros на текущий момент нет.

 

Если необходима очистка/более тщательный анализ системы, сделайте пожалуйста, логи FRST

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool

 

+

образ автозапуска в uVS.

Сделайте, пожалуйста, дополнительно образ автозапуска в uVS.

Quote

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, Win7, Win8, Win10 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

+

проверьте ЛС.

Изменено пользователем safety
Опубликовано (изменено)

Спасибо за внимание к жуткой проблеме.

Я знаю, что PDF-формат это некий контейнер. Выходит это шифровка происходит на контейнер, а содержимое контейнера цело.
Из этого выяснилось следующее:

Шифровка происходит на файл и на файлы-контейнеры, такие как doc, pdf, zip, rar и т.п., а содержимое контейнера иногда остаётся не тронутым.
Так я смог восстановить ВСЕ файлы в zip-формате. Архивы *.rar так не сработали.
Переименовал .MRN обратно в .zip, открыл через winRAR , вытащил содержимое архива. Всё чистенько и всё открывается прекрасно.
Может кому-то эта информация да поможет.
 

Изменено пользователем safety
дополнение

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ВладимирЗ
      Автор ВладимирЗ
      Зашифровали гады данные
      Dectryption-guide.txt
    • belisov@gmail.com
      Автор belisov@gmail.com
      Доброго дня
       
      Новый вид шифровальщика cortizolid-XXXXXXXX[cortizol@atomicmail.io].Cortizol при заражении создает подобные файлы
      Заходит через RDP со слабыми праролями или через машины сотрудников с поднятыми RDP
      Заходит именно человек, запускает скрипт, копируется в папку музыка в моем случае 64.exe и прописывается в реестре
      в корнях дисков создает файл key.cortizol
      и инструкцию как оплатить
      хочет 2500$
       
      основные следы приложил в архиве, портит много чего в реестре и в файловой системе, браузеры не работают.
      если процесс с вирусом в памяти, то записывать тоже не все позволяет
       
      прошу помочь расшифровать, возможно много заражений, тк id имеет много разрядов
      пароль от архива cortizol
       
    • itexno
      Автор itexno
      Пароль на архив 654258 в архиве все файлы и ключи + логи
      Dectryption-guide.rar
      в папке 3  ключи и прочее
    • Volandrei
      Автор Volandrei
      Здравствуйте, вирус шифровальщик попал на сервер, заплатил выкуп, прислали не рабочий ключ и дешифратор. в архиве ключ который прислали, дешифратор, и зашифрованные файлы. Записку потерял, но ид и емаил такой же как в сообщении.   Прикладываю ссылку на обменник. Архив   . 
    • LostGod
      Автор LostGod
      Приветствую.
      Сегодня ночью отработал шифровальщик. Соответственно все базы шифрованы. 
      Будьте добры посмотрите и скажите есть надежда или нет. 
      Благодарю.
       
      youhau@onionmail.org.7z Addition.txt FRST.txt
×
×
  • Создать...