Перейти к содержанию

Зашифрованы все файлы пользователей + информация на серверах


Рекомендуемые сообщения

Коллеги, добрый, надеюсь хотя бы у вас день. Сегодня ночью в период 01:00-06:00 было зашифровано огромное количество пользовательских файлов. 99% ПК, которые были в сети попали под удар. Так же были поражены несколько виндовых серверов, DC, Exchange, SQL. При входе в систему хакерское стандартное приветствие-уведомление. В процессах некий closethedoor.exe, который ведёт в папку C:\Telemerty, ниже содержимое папки, если необходимо залью запароленный архив в облако. Во вложении 2 файла: исходный и зашифрованый. Стандартные дешифраторы касперского не помогли. Надеюсь на вашу помощь. 

 

 

image.thumb.png.f1150fd498b10b1d3df1f0e645f22f46.pnglist.png.ddb74764139e576b267a7283f8cbce53.png

_Расчет стоимости КД.txt AIDS_Расчет стоимости КД.txt

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Новую тему создавать не нужно, продолжайте здесь.

Ссылка на сообщение
Поделиться на другие сайты

Этот файл

C:\Users\Public\Desktop\!!!README!!!.txt

прикрепите к следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

!!!README!!!.txt

Дублирует приветствие.

 

Небольшой апдейт, на большинстве машин в C:\Telemetry только два файла: 516e258c1926e8719cd3679c7212cb56.og и closethedoor.exe. Набор пожирнее оказался на сервере SQL и некоторых пк пользователей. Возможно closethedoor.exe просто подчищает всё.

Изменено пользователем x010d
Ссылка на сообщение
Поделиться на другие сайты
1 hour ago, x010d said:

Во вложении 2 файла: исходный и зашифрованый.

Имя зашифрованного файла изменили? можете указать оригинальное имязашифрованного файла. Еще лучше несколько зашифрованных файлов в архиве. Если нужна будет пара, запросим пару чистый-зашифрованный.

15 minutes ago, x010d said:

Набор пожирнее оказался на сервере SQL и некоторых пк пользователей. Возможно closethedoor.exe просто подчищает всё.

добавьте всю папку в архив с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС

Ссылка на сообщение
Поделиться на другие сайты
57 минут назад, safety сказал:

Имя зашифрованного файла изменили? можете указать оригинальное имязашифрованного файла. Еще лучше несколько зашифрованных файлов в архиве. Если нужна будет пара, запросим пару чистый-зашифрованный.

добавьте всю папку в архив с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС

Файлы перезаписываются с тем же именем, просто с флешки достали исходный.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Veresk
      От Veresk
      Всем доброго дня.
       
      Физический сервер, Windows 2003 R2 (Service Pack 2), лицензия, антивируса нет. Два стечения обстоятельств - забытая старая учетка с довольно простым паролем и открытый RDP (хоть и не на стандартном порту), который открывался на "пару дней" полгода назад. Под конец рабочего дня, некто, с канадского IP (если верить логам - Имя клиента: WIN-SLK700A2O30,  Адрес клиента: 172.245.27.60) зашел по RDP на сервер, и сделал свое грязное дело. Обнаружилось все только на следующее утро.
       
      На сервере крутится библиотечная база, бэкап базы есть (пусть и месячной давности), но самая большая потеря - это электронные копии статей/книг/публикаций и т.п..
       
      Отправляли зашифрованные файлы в drweb, там определили заразу как Trojan.Encoder #Maoloa, и расшифровать они не могут.
       
      В архиве есть пара файлов в нормальном и зашифрованном виде ("Задание_на_обновление_базы_Web.bat" и "КАБИС. Catalog.doc")
       
      Для просмотра уведомления о том что файлы зашифрованы нужно было запустить "HOW TO BACK YOUR FILES.exe", который по сути показывал html-страничку, 
      FRST.txt Addition.txt __KABIS_VIRUS.zip how_to_back_your_files.html
    • KOST123456
      От KOST123456
      7Lv3r0bSe.[QGFTLy9TY].[NetworkAi@Tuta.io].Phalcon
    • Dmitrii_Ar
      От Dmitrii_Ar
      Коллеги, доброе утро! Поймали какую то гадость возможно через серверную почту, зашифровались все файлы и расширение сменилось на простую . 
      Систему зазаложило настолько сильно, что сделать было в принципе ничего не возможно, и  было принято решение сносить все под чистую. Самая большая проблема в том, что на ПК велась разработка софта пред релизной версии со всеми исходниками, единственное что удалось спасти несколько библиотек( 
      Основную пытались реанимировать ,на сколько смогли. Дальше не хватает. Спасибо за любую помощь!
      stec vir(crypt).rar
    • Кама
      От Кама
      Зашифрованны текстовые файлы и файлы баз 1с
      Your ID: A8BDFFDCBFB04A14
      *** This notification indicates that your system has been ENCRYPTED. ***
      If you want to return your files, contact us at the email addresses below.
      Put your ID in the subject line of your email. Otherwise, we will not respond to your messages.
      Black.Rabbit@onionmai.org
      Black.Rabbit@skiff.com
      If you don't pay the ransom, the data will be published on our TOR darknet sites.
      Keep in mind that as soon as your data appears on our leaked site, it can be bought by your competitors at any moment.
      We are the only ones who have the decryption tool. Beware of any organization or individual that claims they can decrypt your data without paying us.
      They just trick you and get more money from you as a result.
      All of them contact us and buy the decryption tool from us.
      What is the guarantee that we will not cheat you?
      Send us a small encrypted file to the listed emails.
      2 files we unlock for free (under 5MB that do not include sensitive information) To confirm our honest intentions.
      We will decrypt these files and send them back to you as evidence.
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Интервью с экспертами «Лаборатории Касперского»"
×
×
  • Создать...