Перейти к содержанию
Новогодняя встреча Kaspersky Club. Записывайся скорее!

Неизвестный шифровальщик с расширением файлов .m0D0cQNMb

talga_mprint
 Поделиться

Рекомендуемые сообщения

talga_mprint

talga_mprint

Опубликовано
Опубликовано (изменено)

Доброго времени суток, нужна помощь в определении или расшифровке файлов.

В пятницу вечером (070225) на компьютере сотрудника были зашифрованный файлы, предположительно через RDP(!rdp осуществляется через vpn с 2 ключами безопасности).

image.thumb.png.6510229a70dbb115b667b20565b1c18d.png

Так же присутствует readme файл с email для контактов и выкупа. 

Addition.txt FRST.txt encrypt-files.rar

m0D0cQNMb.README.txt

Изменено пользователем talga_mprint
safety

safety

Опубликовано
Опубликовано

Здесь покажите что есть в этой папке:

2025-02-07 19:47 - 2024-10-16 08:44 - 000000000 ____D C:\Users\olga\Downloads\win64

 

Систему сканировали уже антивирусными утилитами: KVRT или Cureit? Добавьте отчеты о сканировании.

talga_mprint

talga_mprint

Опубликовано
  • Автор
Опубликовано (изменено)

Добрый день, в папке win64 лежали установочные файлы платформы 1С:бухгалтерия
По поводу KVRT, сейчас сканируется, компьютер слабый поэтому все еще идет

 

 

 

image.png

Изменено пользователем talga_mprint
talga_mprint

talga_mprint

Опубликовано
  • Автор
Опубликовано

Проверка все еще идет, пострадал один пк и сетевые ресурсы к которым был доступ у этого пользователя

 

Cureit ничего не нашел, поделил файл на 2 части, выкладываю вторю часть, т.к. файл слишком тяжелый для прикрепления

 

 

cureit2.txt

safety

safety

Опубликовано
Опубликовано

Можно было полный отчет добавить в архив без пароля. Будет небольшой размер.

Судя по отчету:

There are no infected objects detected

 

Ранее с шифровальщиками уже сталкивались?

 

talga_mprint

talga_mprint

Опубликовано
  • Автор
Опубликовано

Извиняюсь за долгий ответ, нет, до этого не сталкивались. Я так понял исходя из отчета FRST что файлы зашифрованы lockbit и для дешифровки нужен приватный ключ который есть только у мошенников которые нас зашифровали?

safety

safety

Опубликовано
Опубликовано (изменено)

Да, все верно.

Шифрование файлов выполнено шифровальщиком Lockbit v3 Black.

Сэмпл шифровальщика создан на основе утекшего в публичный доступ Lockbit V3 Black Builder.

Который при генерации создает сэмпл, шифрующий публичным RSA ключом, и дешифратор с приватным ключом.

Генерация сэмпла происходит на стороне злоумышленников, поэтому и дешифратор с приватным ключом остается у них.

Понятно, что при каждом процессе генерации сэмпла, создается новая, уникальная пара ключей.

Т.е. расшифровка файлов невозможна без дешифратора или приватного ключа.

+

Проверьте ЛС.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Zakhar05
      Поймали вчера вечером шифровальщик
      Автор Zakhar05
      Добрый день! Поймали (или ктото принес) шифровальщик, формат .FonOu4Mso.
      Текст письма:

      ВНИМАНИЕ!
      ----------------------------
      | Что случилось?
      ----------------------------
      Все ваши файлы, документы, фотографии, базы данных и другие данные зашифрованы надежными алгоритмами.
      Сейчас вы не можете получить доступ к файлам. Но не волнуйтесь. У вас есть шанс! Их легко восстановить, выполнив несколько шагов.
      ----------------------------
      | Как мне вернуть мои файлы?
      ----------------------------
      Единственный способ восстановить ваши файлы — приобрести уникальный приватный ключ, который надёжно хранится на наших серверах.
      Чтобы связаться с нами и приобрести ключ, напишите нам в мессенджер TOX.
      Инструкция:
      1) Скачать и установить мессенджер TOX - https://tox.chat/download.html
      2) Добавить нас в контакты, наш TOX ID - ECA7D8C2ECDF498A2F4E375BA17FE6341DE638A7A8DEC4F826061187DF901B277665A2B9A0E3
      3) После того как мы авторизируем ваш контакт, отправьте нам этот ID - ****
      ----------------------------
      | Что по поводу гарантий?
      ----------------------------
      Мы понимаем ваш стресс и беспокойство.
      Поэтому у вас есть БЕСПЛАТНАЯ возможность протестировать услугу, мгновенно расшифровав бесплатно три файла на вашем компьютере!
      Пишите по любым вопросам, наша поддержка вам тут же ответит, и поможет.
      С любовью, BELUGA Ransomware Team
       
      Зашифрованный файл и логи FRST прилагаю.
      Addition.txt FRST.txt product797.zip
    • imanushkin
      Lockbit с отложенным стартом
      Автор imanushkin
      24 октября потерял один комп с данными, затер полностью, но не учел тот факт что на компе были сохранены данные для входа в RDP.
      Вчера, 27.11 вирус шифровальщик запустился вновь, только уже в терминальной сессии пожрал там часть файлов к которым смог дотянуться, в том числе и сетевую шару примонтированную как сетевой диск. Теневые копии не сработали.
      Оставил послание, файл прикладываю.
       
      Файлы шифровальщика NS.exe, svchost.exe и wlan.exe по понятным причинам загрузить не могу.
      2E2h79m6S.README.txt Зашифрованные.rar
    • Сергей__
      BlackFL
      Автор Сергей__
      Зашифровались файлы BlackFL
      есть дешифратор?
      TNI.zip
    • Vitboss
      Вирус шифровальщик
      Автор Vitboss
      Утром наш сотрудник подхватил шифровальщика. Где, не знаю. В каждой папке закрепленный текстовый файл. Расширение .KQpmP5XUV. Требую денег,   почта help@room155.online, room155@tuta.io. Телега- @HelpRoom155. Помогите. Очень нужные файлы на компе. Прошу помощи.
    • ДядяФедор
      Trojan-Ransom.Win32.Generic зашифрованы файлы данных
      Автор ДядяФедор
      Trojan-Ransom.Win32.Generic, зашифрованы файлы данных. Есть ли шанс на восстановление?Архив.zipAddition.txt
      FRST.txt
×
×
  • Создать...