Перейти к содержанию

Рекомендуемые сообщения

Дмитрий Борисович
Опубликовано

Приветствую!

8 декабря, примерно в 20 часов была замечена активность шифровальщика.

Выявлено шифрование файлов на всех активных компьютерах сети.

Зашифрованные файлы с расширением - .loq

В корне диска C:\ найден файл с раширением .txt следующего содержания:

 

All Your Files Are Locked And Important Data Downloaded !


Your Files Are No Longer Accessible Don't Waste Your Time, Without Our Decryption Program Nobody Can't Help You .

If Payment Isn't Made After A While We Will Sell OR Publish Some Of Your Data . You Don't Have Much Time!


Your ID : HFXGT

If You Want To Restore Them Email Us : Evo.team1992@gmail.com

If You Do Not Receive A Response Within 24 Hours, Send A Message To Our Second Email : Qqq113168@gmail.com

To Decrypt Your Files You Need Buy Our Special Decrypter In Bitcoin .

Every Day The Delay Increases The Price !! The Decryption Price Depends On How Fast You Write To Us Email.

We Deliver The Decryptor Immediately After Payment , Please Write Your System ID In The Subject Of Your E-mail.

What is the guarantee !

Before Payment You Can Send Some Files For Decryption Test.

If We Do Not Fulfill Our Obligations, No One Does Business With Us , Our Reputation Is Important To Us 
It's Just Business To Get Benefits.

===============================================================================

Attention !

Do Not Rename,Modify Encrypted Files .

Do Not Try To Recover Files With Free Decryptors Or Third-Party Programs And Antivirus Solutions Because 

It May Make Decryption Harder Or Destroy Your Files Forever !

===============================================================================

Buy Bitcoin !

https://www.kraken.com/learn/buy-bitcoin-btc

https://www.coinbase.com/how-to-buy/bitcoin

 

 

Архив.zip

Опубликовано
Цитата

2024-12-08 22:10 - 2024-12-08 22:10 - 000004201 _____ C:\Users\Бухгалтер1\AppData\S-inf.sys
2024-12-08 22:10 - 2024-12-08 22:10 - 000003460 _____ C:\Users\Бухгалтер1\AppData\N-Save.sys
2024-12-08 22:10 - 2024-12-08 22:10 - 000001340 _____ C:\Users\Бухгалтер1\AppData\S-6748.bat
2024-12-08 22:10 - 2024-12-08 22:10 - 000000686 _____ C:\Users\Бухгалтер1\AppData\S-8459.vbs
2024-12-08 22:10 - 2024-12-08 22:10 - 000000417 _____ C:\Users\Бухгалтер1\AppData\SysMain.sys
2024-12-08 22:10 - 2024-12-08 22:10 - 000000138 _____ C:\Users\Бухгалтер1\AppData\S-2153.bat
2024-12-08 22:09 - 2024-02-20 15:54 - 001257984 _____ C:\Users\Бухгалтер1\Desktop\Evo.team1992@gmail.com_Official.exe
2024-12-08 22:09 - 2024-02-20 15:54 - 001257984 _____ C:\Users\Бухгалтер1\Desktop\Evo.team1992@gmail.com_Manual.exe
2024-12-08 22:09 - 2024-02-20 15:53 - 001257984 _____ C:\Users\Бухгалтер1\Desktop\Evo.team1992@gmail.com_Fast.exe

заархивируйте с паролем malware123 и прикрепите архив к следующему сообщению в теме.

Опубликовано (изменено)

судя по сэмплам Evo.team1992@gmail.com*.exe

Это RCRU64

https://www.virustotal.com/gui/file/11ce7e8787a5177ad0f12ce96fc9ca848f463c4608d935f97d940240453ff00d

--------

Выполните очистку системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
2024-12-09 02:37 - 2024-12-09 02:37 - 000006164 _____ C:\Users\Бухгалтер1\Desktop\ReadMe.hta
2024-12-08 22:14 - 2024-12-08 22:14 - 000001522 _____ C:\Users\Бухгалтер1\Downloads\Restore_Your_Files.txt
2024-12-08 22:14 - 2024-12-08 22:14 - 000001522 _____ C:\Users\Бухгалтер1\Documents\Restore_Your_Files.txt
2024-12-08 22:14 - 2024-12-08 22:14 - 000001522 _____ C:\Users\Бухгалтер1\Desktop\Restore_Your_Files.txt
2024-12-08 22:14 - 2024-12-08 22:14 - 000001522 _____ C:\Users\Бухгалтер1\AppData\Roaming\Restore_Your_Files.txt
2024-12-08 22:14 - 2024-12-08 22:14 - 000001522 _____ C:\Users\Бухгалтер1\AppData\Roaming\Microsoft\Restore_Your_Files.txt
2024-12-08 22:14 - 2024-12-08 22:14 - 000001522 _____ C:\Users\Бухгалтер1\AppData\LocalLow\Restore_Your_Files.txt
2024-12-08 22:13 - 2024-12-08 22:13 - 000001522 _____ C:\Users\Бухгалтер1\Restore_Your_Files.txt
2024-12-08 22:13 - 2024-12-08 22:13 - 000001522 _____ C:\Users\Бухгалтер1\AppData\Restore_Your_Files.txt
2024-12-08 22:13 - 2024-12-08 22:13 - 000001522 _____ C:\Users\Бухгалтер1\AppData\Local\Restore_Your_Files.txt
2024-12-08 22:10 - 2024-12-08 22:10 - 000004201 _____ C:\Users\Бухгалтер1\AppData\S-inf.sys
2024-12-08 22:10 - 2024-12-08 22:10 - 000003460 _____ C:\Users\Бухгалтер1\AppData\N-Save.sys
2024-12-08 22:10 - 2024-12-08 22:10 - 000001340 _____ C:\Users\Бухгалтер1\AppData\S-6748.bat
2024-12-08 22:10 - 2024-12-08 22:10 - 000000686 _____ C:\Users\Бухгалтер1\AppData\S-8459.vbs
2024-12-08 22:10 - 2024-12-08 22:10 - 000000417 _____ C:\Users\Бухгалтер1\AppData\SysMain.sys
2024-12-08 22:10 - 2024-12-08 22:10 - 000000138 _____ C:\Users\Бухгалтер1\AppData\S-2153.bat
2024-12-08 22:09 - 2024-02-20 15:54 - 001257984 _____ C:\Users\Бухгалтер1\Desktop\Evo.team1992@gmail.com_Official.exe
2024-12-08 22:09 - 2024-02-20 15:54 - 001257984 _____ C:\Users\Бухгалтер1\Desktop\Evo.team1992@gmail.com_Manual.exe
2024-12-08 22:09 - 2024-02-20 15:53 - 001257984 _____ C:\Users\Бухгалтер1\Desktop\Evo.team1992@gmail.com_Fast.exe
2024-12-08 22:09 - 2023-01-30 18:42 - 000000031 _____ C:\Users\Бухгалтер1\Desktop\R_cfg.ini
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено пользователем safety
Опубликовано

С расшифровкой по данному типу шифровальщика не сможем помочь без приватного ключа.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Дмитрий Борисович
Опубликовано

Можно как-то вычислить как данный шифровальщик попал в систему?

 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • gregy
      Автор gregy
      Система 2008r2, установлен Kaspersky Small Office Security лицензионный. Как я понимаю поймали RCRU64 Ransomware. При сканирование был найден rcru_64.exe.
      Часть файлов зашифрована. Сбиты настройки системы.Помогите пожалуйста дешифровать файлы.
      В приложение логи c AutoLogger, письмо, которое лежит во всех папках.
      rcru_64.exe в карантине.
       
      CollectionLog-2021.07.12-00.56.zip Read_Me!_.txt
    • o089901
      Автор o089901
      после вынужденной перезагрузки сервера перестали работать базы 1с, как оказалось файлы на сервере зашифрованы вирусом
      FRST.txt virus.7z
      AppData.7z N-Save-XJOZE.7z
    • hafer
      Автор hafer
      Windows Server 2012 Standart
      Зашифрованы документы, базы 1с на диске С и D
      FRST.zip
    • denis_01r
      Автор denis_01r
      Добрый день!
      На сервер 1С попал вирус. 1С серверная, УТ11. Стоит на mssql. Вирус - шифровальщик. Зашифровал все файлы mdf и ldf. Теперь к концу файла после расширения приписано _[ID-CTIKC_mail-Veryic@Tuta.io].haa
      Ничем не открывается естественно
      На текущий момент система переустановлена. Но есть бекап.
      Addition (1).txt FRST (1).txt
    • de_Gauss
      Автор de_Gauss
      Файлы в общей папке были зашифрованы. Есть часть оригинальных файлов. KIS при сканировании определил заразу как "Trojan-Ransom.Win32.Rannoh". Декриптор от Касперского к сожалению файлы не видит, видно что-то новое. Прошу помощи.
      Оригиналы и зашифрованные файлы лежат здесь. При необходимости могу добавить ещё несколько образцов.
       https://disk.yandex.ru/d/YbtE77b9yLa2wQ
×
×
  • Создать...