Перейти к содержанию
Задай вопрос Алексею Тодирашу!

поймали шифровальщика - дописывает после расширения файла 6a19a55854eee3

ovfilinov
 Share

Рекомендуемые сообщения

ovfilinov Новичок

ovfilinov

Опубликовано
Опубликовано

Группа серверов на основе Виндовс сервер 2008 2016 в локальной сети в домене виндовс.
на виртуальных машинах на разных гипервизорх: Vmware Hyper-V
На них установлен kaspersky Securiti for windows server версия вероятно 10.1
неожиданно перестали работать
при загрузке с лайф сд обнаружены что файлы зашифрованы и выглядят:
имя файла.расширение.6a19a55854eee3 например:

IT Invent_export_14-09-2022.xls.6a19a55854eee3
а также в каждый каталог добавлен файл с вымогательством
6a19a55854eee3-README.txt

при обнаружении все компьютеры были выключены.
 

files.zip FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

Судя по шаблону зашифрованного файла и записке о выкупе файлы зашифрованы HsHarada

Подробная информация по данному шифровальщику есть в обзорной статье

Имя шифровальщика может быть locker.exe,

Пробуйте выполнить поиск на зашифрованных устройствах.

Шифрование содержимого файлов осуществляется с использованием алгоритма AES-256 CFB, сгенерированный для каждого файла ключ AES  шифруется с помощью публичного ключа RSA-2048, содержащегося в коде программы.

Расшифровка файлов возможна при наличие приватного ключа RSA-2048, который создан на стороне злоумышленников.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • hafer
      Поймали шифровальщик. Расширение файлов _[ID-KTRKI_Mail-Vertalic@Tuta.io].LKH
      От hafer
      Windows Server 2012 Standart
      Зашифрованы документы, базы 1с на диске С и D
      FRST.zip
    • IrinaC
      Поймали шифровальщика
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • yarosvent
      поймали шифровальщика
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
    • Freeman80S
      Поймал вирус-шифровальщик, переименовал все расширения файлов на *.Sauron
      От Freeman80S
      Пока катался по городу, сотрудница умудрилась поймать вирус, после этого слились данные "подключение к удаленному рабочему столу", я так понял далее тело из-за бугра залезо на сервер и переименовал все расширения файлов на окончание *.Sauron.
      Запустил все известные анти-вирусы, как итог ничего не находят. В файле требований два адреса: почта adm.helproot@gmail.com, телеграмм канал @adm_helproot, и предложение обменять деньги на биткоины и связаться с этими телами! Во вложении оценка системы и зашифрованные файлы. Буду благодарен! (пароль от архива virus)
      FRST.txt шифр файлы и требование.rar
    • tom1
      Шифровальщик с расширением .wtch
      От tom1
      Здравствуйте.
      Поймали шифровальщик, зашифровал файлы с расширением .wtch. После чего произошло, сказать затрудняюсь (возможно, был получен удаленный доступ к компьютеру, был найден на компьютере advanced port scanner). Помогите, пожалуйста, если есть возможность. Отчеты Farbar и зашифрованные файлы прикладываю. Злоумышленники требуют писать им на почту DecryptData@skiff.com.
      Файл самого шифровальщика обнаружен, готов предоставить.
      Addition.txt FRST.txt файлы.zip
×
×
  • Создать...