Перейти к содержанию

Зашифрованы все файлы пользователей + информация на серверах

x010d
 Share

Рекомендуемые сообщения

x010d Новичок

x010d

Опубликовано
Опубликовано

Коллеги, добрый, надеюсь хотя бы у вас день. Сегодня ночью в период 01:00-06:00 было зашифровано огромное количество пользовательских файлов. 99% ПК, которые были в сети попали под удар. Так же были поражены несколько виндовых серверов, DC, Exchange, SQL. При входе в систему хакерское стандартное приветствие-уведомление. В процессах некий closethedoor.exe, который ведёт в папку C:\Telemerty, ниже содержимое папки, если необходимо залью запароленный архив в облако. Во вложении 2 файла: исходный и зашифрованый. Стандартные дешифраторы касперского не помогли. Надеюсь на вашу помощь. 

 

 

image.thumb.png.f1150fd498b10b1d3df1f0e645f22f46.pnglist.png.ddb74764139e576b267a7283f8cbce53.png

_Расчет стоимости КД.txt AIDS_Расчет стоимости КД.txt

Ссылка на комментарий
Поделиться на другие сайты
x010d Новичок

x010d

Опубликовано
  • Автор
Опубликовано (изменено)

!!!README!!!.txt

Дублирует приветствие.

 

Небольшой апдейт, на большинстве машин в C:\Telemetry только два файла: 516e258c1926e8719cd3679c7212cb56.og и closethedoor.exe. Набор пожирнее оказался на сервере SQL и некоторых пк пользователей. Возможно closethedoor.exe просто подчищает всё.

Изменено пользователем x010d
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано
1 hour ago, x010d said:

Во вложении 2 файла: исходный и зашифрованый.

Имя зашифрованного файла изменили? можете указать оригинальное имязашифрованного файла. Еще лучше несколько зашифрованных файлов в архиве. Если нужна будет пара, запросим пару чистый-зашифрованный.

15 minutes ago, x010d said:

Набор пожирнее оказался на сервере SQL и некоторых пк пользователей. Возможно closethedoor.exe просто подчищает всё.

добавьте всю папку в архив с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС

Ссылка на комментарий
Поделиться на другие сайты
x010d Новичок

x010d

Опубликовано
  • Автор
Опубликовано
57 минут назад, safety сказал:

Имя зашифрованного файла изменили? можете указать оригинальное имязашифрованного файла. Еще лучше несколько зашифрованных файлов в архиве. Если нужна будет пара, запросим пару чистый-зашифрованный.

добавьте всю папку в архив с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС

Файлы перезаписываются с тем же именем, просто с флешки достали исходный.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • jserov96
      Зашифровали сервер файлами с расширением .vx2
      От jserov96
      Шифровальщик запустился скорее всего из планировщика заданий ровно в 21:00 16 ноября в субботу.  Время указано на основе найденных зашифрованных файлов. Шифровальщик нашел все скрытые диски, подключил все бекапы, зашифровал все содержимое .vhd бекапов, и сами бекапы тоже зашифровал. Сервер отключен, диск с бекапами снят, зашифрованные .vhd файлы перенесены на другой диск, чтобы попробовать вытащить файлы. Шифровальщик шифрует первый 20000h байт файла и дописывает 300h байт в огромные файлы, видимо сделано для ускорения шифрования всего диска. Особенность: выполняемые файлы не шифруются!
      vx2.rar
    • whoamis
      Зашифровало сервер сегодня
      От whoamis
      Добрый день зашифровало сервер, предположительно кто-то скачал картинку на сервере и открыл.
      Addition.txt FRST.txt 11.rar
    • sduganov
      зашифровали сервер 1С
      От sduganov
      Добрый день!
      поймали шифровальщика.. не смогли запустить 1с они еще и на sql
      Addition.txt FRST.txt файлызашиф.rar
    • Корчагин Степан
      Информация об актуальных бета-версиях
      От Корчагин Степан
      Всем привет!
      С этого момента здесь мы будем публиковать новости о бета-тестировании.
      Присоединяйтесь к нашему бета-тестированию на нашем специальном ресурсе (лучше регистрироваться под тем же ником, что и тут), приглашайте своих друзей, помогайте нам создавать лучшее защитное программное обеспечение в мире, получайте клубные баллы и другие подарки от нас.
       
      Последние бета-версии продуктов Касперского для Windows (21.8.4.272) можно получить здесь:
      Kaspersky — https://box.kaspersky.com/d/faa52e0ba68c4c5aaa45/
      Kaspersky VPN — https://box.kaspersky.com/d/cc7a0ae4207148b6a0cf/
      KSOS— https://box.kaspersky.com/d/941e5b357d2d45f39dd4/
      KES— https://box.kaspersky.com/d/dbc8bf07bd8a45a3b0bc/
       
      Пожалуйста, сообщайте об ошибках и отзывах на нашем форуме бета-тестирования:
      Для домашних продуктов (Kaspersky, Kaspersky VPN) - https://eap.kaspersky.com/category/354/home
      Для бизнес-продуктов (KES, KSOS) - https://eap.kaspersky.com/category/356/business

      Информацию о изменении актуальной версии бета-продуктов мы будем публиковать здесь, в следующих обновлениях.
      Увидимся!
    • ALFGreat
      Шифровальщик BitLocker зашифровал все диски и файлы.
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
×
×
  • Создать...