Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

поймали шифровальщика - дописывает после расширения файла 6a19a55854eee3

ovfilinov
 Поделиться

Рекомендуемые сообщения

ovfilinov Новичок

ovfilinov

Опубликовано
Опубликовано

Группа серверов на основе Виндовс сервер 2008 2016 в локальной сети в домене виндовс.
на виртуальных машинах на разных гипервизорх: Vmware Hyper-V
На них установлен kaspersky Securiti for windows server версия вероятно 10.1
неожиданно перестали работать
при загрузке с лайф сд обнаружены что файлы зашифрованы и выглядят:
имя файла.расширение.6a19a55854eee3 например:

IT Invent_export_14-09-2022.xls.6a19a55854eee3
а также в каждый каталог добавлен файл с вымогательством
6a19a55854eee3-README.txt

при обнаружении все компьютеры были выключены.
 

files.zip FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Судя по шаблону зашифрованного файла и записке о выкупе файлы зашифрованы HsHarada

Подробная информация по данному шифровальщику есть в обзорной статье

Имя шифровальщика может быть locker.exe,

Пробуйте выполнить поиск на зашифрованных устройствах.

Шифрование содержимого файлов осуществляется с использованием алгоритма AES-256 CFB, сгенерированный для каждого файла ключ AES  шифруется с помощью публичного ключа RSA-2048, содержащегося в коде программы.

Расшифровка файлов возможна при наличие приватного ключа RSA-2048, который создан на стороне злоумышленников.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alexlaev
      Поймали шифровальщик
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • a_d_69
      Пойман шифровальщик [restore1_helper@gmx.de].Banta
      Автор a_d_69
      Поймали шифровальщика, по возможности можете сказать есть возможно расшифровать. Логи через FRST добавили. Пароль на архив 123
      977Fast.rar Архив.zip Addition.txt FRST.txt
    • Tetradb
      Шифровальщик с расширением [johnhelper123@gmx.de].decrypt
      Автор Tetradb
      Здравствуйте.
      Зашифровались все файлы, прошу помощи по расшифровке файлов если есть возможно.
      29.11.2022.rar
    • Fantamax
      Шифровальщик - вымогатор поменял расширение файлов на i54m390g5b4
      Автор Fantamax
      Добрый день. Сегодня в 6 утра вирус поменял расширение у многих файлов и зашифровал. 
      Похожая тема была, но у меня есть бекапы некоторых файлов, можно ли расшифровать (файл бекапа тоже прикрепил в архив):
       
      Addition.txt FRST.txt files.rar
    • DanilDanil
      Поймал на VM шифровальщик. Предположительно Mimic (N3ww4v3)
      Автор DanilDanil
      Словил на VM шифровальщик. GPT в deepsearch предположил, что это mimic ( N3ww4v3) - на основе проанализированных зашифрованных файлов и оставленной злоумышленниками записке. Зашифрованны базы данных. Бэкапов не было...
      Есть ли возможность дешифровать? Вот это оставили злоумышленники. Зашифрованный файл прикрепить не могу, форум ограничивает.
      Important_Notice.txt
×
×
  • Создать...