Перейти к содержанию

Зашифрованы все файлы пользователей + информация на серверах

x010d
 Share

Рекомендуемые сообщения

x010d Новичок

x010d

Опубликовано
Опубликовано

Коллеги, добрый, надеюсь хотя бы у вас день. Сегодня ночью в период 01:00-06:00 было зашифровано огромное количество пользовательских файлов. 99% ПК, которые были в сети попали под удар. Так же были поражены несколько виндовых серверов, DC, Exchange, SQL. При входе в систему хакерское стандартное приветствие-уведомление. В процессах некий closethedoor.exe, который ведёт в папку C:\Telemerty, ниже содержимое папки, если необходимо залью запароленный архив в облако. Во вложении 2 файла: исходный и зашифрованый. Стандартные дешифраторы касперского не помогли. Надеюсь на вашу помощь. 

 

 

image.thumb.png.f1150fd498b10b1d3df1f0e645f22f46.pnglist.png.ddb74764139e576b267a7283f8cbce53.png

_Расчет стоимости КД.txt AIDS_Расчет стоимости КД.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Новую тему создавать не нужно, продолжайте здесь.

Ссылка на комментарий
Поделиться на другие сайты
x010d Новичок

x010d

Опубликовано
  • Автор
Опубликовано (изменено)

!!!README!!!.txt

Дублирует приветствие.

 

Небольшой апдейт, на большинстве машин в C:\Telemetry только два файла: 516e258c1926e8719cd3679c7212cb56.og и closethedoor.exe. Набор пожирнее оказался на сервере SQL и некоторых пк пользователей. Возможно closethedoor.exe просто подчищает всё.

Изменено пользователем x010d
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано
1 hour ago, x010d said:

Во вложении 2 файла: исходный и зашифрованый.

Имя зашифрованного файла изменили? можете указать оригинальное имязашифрованного файла. Еще лучше несколько зашифрованных файлов в архиве. Если нужна будет пара, запросим пару чистый-зашифрованный.

15 minutes ago, x010d said:

Набор пожирнее оказался на сервере SQL и некоторых пк пользователей. Возможно closethedoor.exe просто подчищает всё.

добавьте всю папку в архив с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС

Ссылка на комментарий
Поделиться на другие сайты
x010d Новичок

x010d

Опубликовано
  • Автор
Опубликовано
57 минут назад, safety сказал:

Имя зашифрованного файла изменили? можете указать оригинальное имязашифрованного файла. Еще лучше несколько зашифрованных файлов в архиве. Если нужна будет пара, запросим пару чистый-зашифрованный.

добавьте всю папку в архив с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС

Файлы перезаписываются с тем же именем, просто с флешки достали исходный.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • khortys
      Заблокировали файлы и диск на сервере.
      От khortys
      Добрый день! Меня взломали, заблокировали файлы и теперь вымогают деньги, оставили почту. Пришел сюда потому что не знаю что делать.
      К сожалению самого файл шифровальщика найти не удалось.
      Прикрепляю логи (server1.zip), пару зашифрованных файлов и письмо вымогателей (temp.zip).
      server1.zip temp.zip
    • jserov96
      Зашифровали сервер файлами с расширением .vx2
      От jserov96
      Шифровальщик запустился скорее всего из планировщика заданий ровно в 21:00 16 ноября в субботу.  Время указано на основе найденных зашифрованных файлов. Шифровальщик нашел все скрытые диски, подключил все бекапы, зашифровал все содержимое .vhd бекапов, и сами бекапы тоже зашифровал. Сервер отключен, диск с бекапами снят, зашифрованные .vhd файлы перенесены на другой диск, чтобы попробовать вытащить файлы. Шифровальщик шифрует первый 20000h байт файла и дописывает 300h байт в огромные файлы, видимо сделано для ускорения шифрования всего диска. Особенность: выполняемые файлы не шифруются!
      vx2.rar
    • Максим Ivanov
      Файлы были зашифрованы .want_to_cry
      От Максим Ivanov
      Файлы с расширением .want_to_cry. Kaspersky Small Office Security вируса не обнаружил, при этом не все файлы на диске были зашифрованы, только одна папка. Во вложении все необходимое.
      Addition.txt FRST.txt Файлы.rar
    • Azward
      Зашифровались файлы hop_dec
      От Azward
      Добрый день! 
      Зашифровались все файлы на рабочей машине. В том числе 1с базы.
      [MJ-CR7920861453](decodehop@gmail.com )   Все файлы с таким расширением.
      Отправил во вложении Архив с файлом, и логи FRST
      Надеемся на вашу помощь. Стоял касперский Small office security. Не помог. Сейчас вовсе исчез.
      virus.rar Addition.txt FRST.txt
    • whoamis
      Зашифровало сервер сегодня
      От whoamis
      Добрый день зашифровало сервер, предположительно кто-то скачал картинку на сервере и открыл.
      Addition.txt FRST.txt 11.rar
×
×
  • Создать...