Перейти к содержанию

Файлы зашифрованы by --WantToCry-- r@n50mw@re .want_to_cry


Рекомендуемые сообщения

Зашифрованы файлы, ТОЛЬКО на сетевом диске. Проверили все ПК - "чистые".

Зашифровано все что имеет расширение, кроме .exe

Появилось окончание у файлов .want_to_cry

 

Самого вируса нету. Приложил файлы в оригинале и зашифрованные. Прошу помощи.

 

 

Так же в корне каждой папки файл с содержанием:

Спойлер

 

All your data has been encrypted  by --WantToCry-- r@n50mw@re
You can buy decryption of all files for 1920 USD.

For this:
  Visit https://tox.chat/download.html
  Download and install qTOX on your PC.
  Open it, click "New Profile" and create profile.
  Click "Add friends" button and search our contact -
963E6F7F58A67DEACBC2845469850B9A00E20E4000CE71B35DE789ABD0BE2F70D4147D5C0C91
  Send a message with this string: 
5C4A47B161984AB0A81834E4B78676E6
  Send 3 test files. These should be files of no more than 20-30 MB each. We do not accept download links from third-party resources. We do not accept very large files, such as database files.
In response, we will send payment instructions and decrypted files. Payment is made in the Bitcoin cryptocurrency.

 

 

 

file.zip

Ссылка на комментарий
Поделиться на другие сайты

Записку о выкупе, добавьте, пожалуйста, файлом с оригинальным именем.

+

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

Ссылка на комментарий
Поделиться на другие сайты

Сетевой диск - это NAS QNAP D2, доступ SAMBA к его папкам по паролю.

Все ПК чистые, проверены 3 антивирусами.

Судя по датам изменения файлов, шифрование было выполнено во вне рабочее время.

!want_to_cry.txt

Ссылка на комментарий
Поделиться на другие сайты

Возможно, есть уязвимость в ПО, которое позволяет злоумышленникам подключиться из внешней сети без авторизации.

Проверьте, все ли рекомендации от производителей сетевых хранилищ QNAP выполнены  для защиты от атак шифровальщиков.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Максим Ivanov
      Автор Максим Ivanov
      Файлы с расширением .want_to_cry. Kaspersky Small Office Security вируса не обнаружил, при этом не все файлы на диске были зашифрованы, только одна папка. Во вложении все необходимое.
      Addition.txt FRST.txt Файлы.rar
    • timmonn
      Автор timmonn
      Здравствуйте, шифровальщик зашифровал все файлы и переименовал файлы "Примерфайла.xml.[ID-6F6D95A2].[blackdecryptor@gmail.com].9w8ww
      Не смог найти название этого шифровальщика чтоб поискать дешифровщик.
      Прошу помочь с расшифровкой.
      Addition.txt FRST.txt файлы.zip
    • Andrey_ka
      Автор Andrey_ka
      Добрый день! Может , кто подскажет... попался диск с архивами одного предприятия , диск стоял на NAS Iomega, со временем hdd был поврежден , но данные с него я смог вытащить , файловая структура целая , но как выяснилось ни один из файлов нормально не открывается, уточни у бывших работников и выяснил , что еще до того как он умер у них начались подобные проблемы и большую часть информации они успели переписать ( все указывает на работу вируса шифровальщика) , взяв несколько файлов попытался онлайн прогнать разными анализаторами вирусов , результат один вирусов не обнаружено ... теперь о самих файлах - неважно это файлы doc, docx, pdf и т.д. тенденция прослеживается такая, начало файла смещение 0x2E0 защифрованно, в конец файла добавлено 1126 байт , код начинается D9 9D 68 и полностью одинаковы во всех файлах кроме последних 0x84 байта. Ни то, что бы информация очень востребована , любопытно, что это за вирус и тд... если кому интересно , образцы файлов выложу и дамп концовки ....    
          вставить выделенную цитату в окно ответа
            xТитульный.docx Титульный.docx titdump.txt
    • BOBO
      Автор BOBO
      Попросили создать новую тему не знаю почему ту закрыли вот создаю. Меня тоже взломали 25 числа hdd весит на роутере, smb открыт был. Покапалься в файлах были несколько оригинальных файлов и вроде шифрование AES в режиме ECB. Встал вопрос можно ли найти ключ шифрования если например нашел зашифрованный блок пробелов 16 байт. 
    • FineGad
      Автор FineGad
      26.12.24 На файловом сервере (комп с Debian) в расшареных каталогах заметил текстовый файл !want_to_cry.txt 
      Просканировал все каталоги доступные по сети (SMB) зашифрованные файлы с расширением .want_to_cry по времени создания файлов видно что шифровальщик проработал примерно с 24.12.24 20:05  по 25.12.24 03:05 после чего сервер "завис". Сейчас шифровщик не активен (новые шифрованные файлы не появляются). Доступа к сети извне нет, кроме SSH с ключом шифрования. В сети кроме моего во время активности были еще 2 компьютера под управление Windows.
       
      !want_to_cry.txt
×
×
  • Создать...