Перейти к содержанию

Шифровальщик

Александр94

Автор Александр94
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

safety

safety

Опубликовано
Опубликовано (изменено)

Файл шифровальщика найден? Пробуйте найти файл "hope last final.exe", возможно среди удаленных антивирусом.

Изменено пользователем safety
  • Like (+1) 1
Александр94

Александр94

Опубликовано
  • Автор
Опубликовано

Нашел исполняем файл .exe по времени совпадает с заражением. Как прислать? В архив с паролем virus?   

safety

safety

Опубликовано
Опубликовано

Да, файл добавить в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание здесь в вашем сообщении.

  • Like (+1) 1
Александр94

Александр94

Опубликовано
  • Автор
Опубликовано

https://ru.files.me/u/87gst79egs

14 минут назад, safety сказал:

Да, файл добавить в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание здесь в вашем сообщении.

Прикрепил выше

safety

safety

Опубликовано
Опубликовано (изменено)

Это легальный файл с цифровой от Микрософт.

image.png

 

В карантине установленного ESET проверьте, что есть на дату шифрования.

 

или соберите такой лог.

Изменено пользователем safety
  • Like (+1) 1
Александр94

Александр94

Опубликовано
  • Автор
Опубликовано (изменено)
19 часов назад, safety сказал:

Это легальный файл с цифровой от Микрософт.

image.png

 

В карантине установленного ESET проверьте, что есть на дату шифрования.

 

или соберите такой лог.

 

Это первые два файла по дате и времени изменения которые нашлись с расширением .exe Дальше пошло создание зашифрованных файлов. ESET ничего не обнаружил. Сервер стоял запущенный без входа пользователей, новых пользователей создано не было, работы на сервере никто не производил. Сейчас через kaspersky removal tool обнаружил вирус прикрепляю ссылку с архивом

Изменено пользователем Sandor
убрал ссылку
safety

safety

Опубликовано
Опубликовано (изменено)

да, в последнем архиве тот что hope gmail.exe - это файл шифровальщика.

A Variant Of Win32/Filecoder.Ouroboros.G, другое название - Voidcrypt. В последнее время редко встречается, за исключением этого варианта hop_dec, который кто-то еще продвигает.

 

Проверьте, так же ЛС.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • copypaste
      Шифровальщик. Предположительно из семейства Dharma/Crysis
      Автор copypaste
      Доброго дня. 
       
      Коснулась напасть сия.
      Шифровщика по окончанию злодеяния нет. 
      Во вложении:
      1. Логи FRST
      2. Результат проверки KVRT
      3. Пример зашифрованных файлов + KEY файл и письмо Decryption
       
      Спасибо заранее за уделенное время.
      crypt.rar FRST.rar KVRT2020_Data.rar
    • Lingon
      Файлы зашифрованы с расширением .ant_dec
      Автор Lingon
      files.rarAddition.txt
      FRST.txt
    • Oleg P
      Зашифрована ОС Windows Server 2016
      Автор Oleg P
      Коллеги.ю добрый день.
      Зашифрован сервер с ОС Windows Server 2016 - предположительно, через уязвимость в протоколе RDP. Прилагаются следующие файлы:
      - Примеры зашифрованных файлов (3 шт.)
      - Открытый ключ шифрования (исходное расширение - key)
      - Баннер, оставленный злоумышленниками
      - Письмо, полученное от злоумышленников в ответ на письмо, отправленное нами (со всеми метаданными)
      Система не загружается ни в каком режиме, т.к. системные файлы, предположительно, также зашифрованы.
      Исходное расширение зашифрованных файлов - wixawm
      Ждем дальнейших инструкций.
      Заранее спасибо за помощь.
      Thumbs.db,(MJ-AP9840316572)(helpcenter2008@gmail.com).txt Выигранные тендеры.xlsx,(MJ-AP9840316572)(helpcenter2008@gmail.com).txt Обеспечение контракта - деньги.docx,(MJ-AP9840316572)(helpcenter2008@gmail.com).txt RSAKEY-MJ-IZ0643158279.txt Decryption-Guide.txt Fwd Your Case ID MJ-OS3547089612 - free-daemon@yandex.ru - 2021-12-13 1414.txt
    • negativv666
      Расшифровка файлов
      Автор negativv666
      Добрый день. Зашифровались файлы.
      В архиве Desktop  - письмо от шифровальщика и два зашифрованных файла.
      В архиве ProramData  - файлы prvkey.txt.key которые нужно отправить взломщику. Пароль на этот архив  - virus.
      kixonw@gmail.com - Это архив предположительно с вирусом. Пароль на архив  - virus.
      Касперский определил этот файл как - virus.win32.neshta.a
      Desktop.rar ProgramData.rar kixonw@gmail.com.rar
    • lexmith
      Поймал шифровальщик [heygol552@gmail.com]
      Автор lexmith
      Будем благодарны за помощь если это возможно.
      txt_files.zip
      encryt_files.zip
×
×
  • Создать...