Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Неизвестный шифровальщик с расширением файлов .m0D0cQNMb

talga_mprint
 Поделиться

Рекомендуемые сообщения

talga_mprint

talga_mprint

Опубликовано
Опубликовано (изменено)

Доброго времени суток, нужна помощь в определении или расшифровке файлов.

В пятницу вечером (070225) на компьютере сотрудника были зашифрованный файлы, предположительно через RDP(!rdp осуществляется через vpn с 2 ключами безопасности).

image.thumb.png.6510229a70dbb115b667b20565b1c18d.png

Так же присутствует readme файл с email для контактов и выкупа. 

Addition.txt FRST.txt encrypt-files.rar

m0D0cQNMb.README.txt

Изменено пользователем talga_mprint
Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано

Здесь покажите что есть в этой папке:

2025-02-07 19:47 - 2024-10-16 08:44 - 000000000 ____D C:\Users\olga\Downloads\win64

 

Систему сканировали уже антивирусными утилитами: KVRT или Cureit? Добавьте отчеты о сканировании.

Ссылка на комментарий
Поделиться на другие сайты
talga_mprint

talga_mprint

Опубликовано
  • Автор
Опубликовано (изменено)

Добрый день, в папке win64 лежали установочные файлы платформы 1С:бухгалтерия
По поводу KVRT, сейчас сканируется, компьютер слабый поэтому все еще идет

 

 

 

image.png

Изменено пользователем talga_mprint
Ссылка на комментарий
Поделиться на другие сайты
talga_mprint

talga_mprint

Опубликовано
  • Автор
Опубликовано

Проверка все еще идет, пострадал один пк и сетевые ресурсы к которым был доступ у этого пользователя

 

Cureit ничего не нашел, поделил файл на 2 части, выкладываю вторю часть, т.к. файл слишком тяжелый для прикрепления

 

 

cureit2.txt

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано

Можно было полный отчет добавить в архив без пароля. Будет небольшой размер.

Судя по отчету:

There are no infected objects detected

 

Ранее с шифровальщиками уже сталкивались?

 

Ссылка на комментарий
Поделиться на другие сайты
talga_mprint

talga_mprint

Опубликовано
  • Автор
Опубликовано

Извиняюсь за долгий ответ, нет, до этого не сталкивались. Я так понял исходя из отчета FRST что файлы зашифрованы lockbit и для дешифровки нужен приватный ключ который есть только у мошенников которые нас зашифровали?

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

Да, все верно.

Шифрование файлов выполнено шифровальщиком Lockbit v3 Black.

Сэмпл шифровальщика создан на основе утекшего в публичный доступ Lockbit V3 Black Builder.

Который при генерации создает сэмпл, шифрующий публичным RSA ключом, и дешифратор с приватным ключом.

Генерация сэмпла происходит на стороне злоумышленников, поэтому и дешифратор с приватным ключом остается у них.

Понятно, что при каждом процессе генерации сэмпла, создается новая, уникальная пара ключей.

Т.е. расшифровка файлов невозможна без дешифратора или приватного ключа.

+

Проверьте ЛС.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Evgeniy Alekseevich
      Файлы зашифрованы, расширение файлов helpo2, как расшифровать ?
      Автор Evgeniy Alekseevich
      05 августа , судя по датам файлов, на нашем сервере был запущен шифровальщик, кем и как пока выясняем, но сегодня утром я обнаружил зашифрованы практически все файлы.
      Файлы имеют расширение helpo2.
      Может кто сталкивался и сможет помочь ?
      Связались с вымогателями, они для примера расшифровали два файла, я вложил в архив два зашифрованных и они же расшифрованные . Там же письмо, которое они оставили.
      Также прикладываю файлы от  Farbar Recovery Scan Tool.
      Может кто сможет помочь....
      С Уважением, Евгений.
       
       
      Addition.txt FRST.txt НаборФайлов5шт.zip
    • Kataomi_3232
      [РЕШЕНО] Неизвестное расширение в Google Chrome.
      Автор Kataomi_3232
      Здравствуйте. После установки игры с неизвестного источника моим родственником, браузер Google Chrome начал 2-3 раза в день вылетать, при попытке зайти в настройки и например удалить историю он стал выдавать - некоторые настройки были изменены сторонним приложением, браузер вернул их по умолчанию. Еще что я заметил, это то, что окошко где находятся расширения после всех этих манипуляций всегда самостоятельно переходили в режим разработчика. Но буквально 30 минут назад на моих глаза из ни откуда появилось расширение torrent scanner, оказывается оно все это время существовало и во встроенном браузере от windows (microsoft edge) Благодаря беседе с одним модератором на форуме касперского, он сообщил мне что стоит обратиться сюда и что расширение установилось локально.
      CollectionLog-2025.05.06-22.58.zip
    • SatanicPanzer
      Файлы зашифрованы с расширением Encrypted
      Автор SatanicPanzer
      Скорее всего проник через почту на сервер небольшой фирмы, файлы и логи прикрепляю
      FRST.txt 1.zip
    • АндрейПеркка
      Утром приключилась беда. Схватил шифровальщика. Расширение .TeGgRfQk1.
      Автор АндрейПеркка
      Утром приключилась беда-подхватил шифровальщика. Где, не знаю. В каждой папке закрепленный текстовый файл. Расширение .TeGgRfQk1. Требую денег,   почта help@room155.online, room155@tuta.io. Телега- @HelpRoom155. Помогите. Очень нужные файлы на компе. Прошу помощи.
      TeGgRfQk1.README.txt
    • Fantamax
      Шифровальщик - вымогатор поменял расширение файлов на i54m390g5b4
      Автор Fantamax
      Добрый день. Сегодня в 6 утра вирус поменял расширение у многих файлов и зашифровал. 
      Похожая тема была, но у меня есть бекапы некоторых файлов, можно ли расшифровать (файл бекапа тоже прикрепил в архив):
       
      Addition.txt FRST.txt files.rar
×
×
  • Создать...