Перейти к содержанию

Словили шифровальщика platishilidrochish@fear.pw

Dima322
 Поделиться

Рекомендуемые сообщения

Dima322

Dima322

Опубликовано
Опубликовано (изменено)

Здравствуйте, предположительно через RDP 02.02 словили вирус на компьютер бухгалтера, все файлы 1с пришли к виду platishilidrochish@fear.pw
Ниже прикрепил файл с логами из FRST и образцами файла
Записки о выкупе нет, только зашифрованные данные 1С и всё. 
Делал проверку через KVRT никаких троянов не обнаружил

test.7z

Addition.txt FRST.txt

Изменено пользователем Dima322
safety

safety

Опубликовано
Опубликовано (изменено)

Судя по логам FRST, запуска шифровальщика не было на данном устройстве. Нет характерных следов запуска шифровальщика.

Возможно на данном устройстве были зашифрованы только общие папки, а запуск шифровальщика был на другом устройстве.

Изменено пользователем safety
Dima322

Dima322

Опубликовано
  • Автор
Опубликовано

Спасибо, будем дальше значит копать. 

А в логах что именно нужно искать не подскажите, каким образом эти строки выглядят. 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • farsh13
      Шифровальщик с расширением KASPERSKY
      Автор farsh13
      Добрый день. 
      Утром зашифровались все файлы и стали с расширением KASPERSKY
      Скан логи утилитой с зараженного ПК, текст вымогателя и несколько файлов прилагаю
      PHOTO-2018-05-31-17-30-46.jpg.rar Addition.txt FRST.txt Kaspersky_Decryption.txt
    • Greshnick
      secure5555@msgsafe.io
      Автор Greshnick
      4.10.2022 через слабый RDP зашифровали файлики на серверах во всей сети.
      Однозначно можно сказать, что по словарю пытались подобрать пароль к дефолтному Администратору.
      архив с шифрованными файлами прилагаю.
      Так же удалось выцепить само тело вируса. Архив могу выслать.
      Есть шансы на восстановление, или хоронить?
       
      Содержание письма с требованием instructions.txt:
       
      Ваши документы, базы данных и другие файлы были зашифрованы. Но не стоит переживать! 
      Мы все расшифруем и вернем на свои места.
      Ваш идентификатор (ID)
      MW3TU1hwTvdcURkXBllqXy7DuZ_lncKU5525-KbgSUk*g0eI9
      Для расшифровки данных:
      Напишите на почту - secure5555@msgsafe.io
       
       *В письме указать Ваш личный идентификатор  MW3TU1hwTvdcURkXBllqXy7DuZ_lncKU5525-KbgSUk*g0eI9
       *Прикрепите 2 файла до 2 мб для тестовой расшифровки. 
        мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем расшифровать файлы.
       -Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление файлов.
       -Написав нам на почту вы получите дальнейшие инструкции по оплате.
      В ответном письме Вы получите программу для расшифровки.
      После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
      Мы гарантируем:
      100% успешное восстановление всех ваших файлов
      100% гарантию соответствия
      100% безопасный и надежный сервис
      Внимание!
       * Не пытайтесь удалить программу или запускать антивирусные средства
       * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
       * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
      уникальный ключ шифрования
       
      g0ei9.rar
    • Denis.A.Shmarov
      Помогите расшифровать.
      Автор Denis.A.Shmarov
      Коллеги добрый ( не очень) день!
       
      Также поймали этого шифровальщика - и идентификатор тот же что и в первом посте Ильдар_T
       
      Вопрос к Ильдар_T    Удалось ли что-то выяснить по сабжу ?
       
       
      Ваши документы, базы данных и другие файлы были зашифрованы. Но не стоит переживать! 
      Мы все расшифруем и вернем на свои места.
      Ваш идентификатор (ID)
      MW3TU1hwTvdcURkXBllqXy7DuZ_lncKU5525-KbgSUk*g0eI9
      Для расшифровки данных:
      Напишите на почту - secure5555@msgsafe.io
       
       *В письме указать Ваш личный идентификатор  MW3TU1hwTvdcURkXBllqXy7DuZ_lncKU5525-KbgSUk*g0eI9
       *Прикрепите 2 файла до 2 мб для тестовой расшифровки. 
        мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем расшифровать файлы.
       -Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление файлов.
       -Написав нам на почту вы получите дальнейшие инструкции по оплате.
      В ответном письме Вы получите программу для расшифровки.
      После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
      Мы гарантируем:
      100% успешное восстановление всех ваших файлов
      100% гарантию соответствия
      100% безопасный и надежный сервис
      Внимание!
       * Не пытайтесь удалить программу или запускать антивирусные средства
       * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
       * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
      уникальный ключ шифрования
       
      Сообщение от модератора kmscom Тема перемещена из https://forum.kasperskyclub.ru/topic/238801-pomogite-rasshifrovat/?_report=2928  
    • sergey_arz
      День добрый, компьютер проектировщика заражен шифровальщиком
      Автор sergey_arz
      День добрый, компьютер проектировщика заражен шифровальщиком. Скан антивирусом не проводил как рекомендует записка, записки и файлы прилагаю.
      файлы и записка.rar Addition.txt FRST.txt
    • Andrey25112025
      Trojan.Encoder
      Автор Andrey25112025
      Здравствуйте. Прошу рассмотреть возможность расшифровать базы 1С на коммерческой основе, файлы зашифрованы в октябре 2024г. Ниже ссылка на два зашифрованных файла. https://disk.yandex.ru/d/KvsLkCD2K-ttNg
      https://disk.yandex.ru/d/LeB1EqVX7NOGJA
       
×
×
  • Создать...