Перейти к содержанию

Шифровальщик @BeGood327

Буп
 Поделиться

Рекомендуемые сообщения

Буп

Буп

Опубликовано
Опубликовано

Зашифровали данные у всех компьютеров и серверов, что были в сети. Доступа к файлами нет, диски зашифрованы. Сервера весят на "востоновление загрузки" и несколько на запросе пароля с сообщением:

FOR UNLOCK - CONTACT TELEGRAMM @BeGood327

safety

safety

Опубликовано
Опубликовано

Это пароли для расшифровки данных устройств. Жест благотворительности + подтверждение, что все ходы у них записаны.

 

Есть другие устройства, которые остались не зашифрованы? Возможно что задачу с шифрованием раскатили через домен.

Буп

Буп

Опубликовано
  • Автор
Опубликовано

Нет, всё устройства стали зашифроваными. 

Да, скорее всего через домен её и раскатали. 

safety

safety

Опубликовано
Опубликовано

Если какое то из устройств расшифруете с помощью предоставленных паролей, сделайте в расшифрованной системе логи FRST.

Буп

Буп

Опубликовано
  • Автор
Опубликовано

После сканирования, куда отправить два текстовых файла что создались? 

safety

safety

Опубликовано
Опубликовано

Сюда и отправьте/прикрепите, в архиве без пароля

safety

safety

Опубликовано
Опубликовано

Эти программы надо деинсталлировать

DiskCryptor 1.1 (HKLM\...\DiskCryptor_is1) (Version: 1.1 - hxxp://diskcryptor.net/)
Mesh Agent (HKLM\...\Mesh Agent) (Version: 2025-03-07 00:44:07.000+03:00 - )

 

Далее,

 

Выполнить очистку в FRST

 

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-663218133-1469853391-2085969384-3746\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {12447016-A920-48B8-B4B4-244C752551B6} - System32\Tasks\PUpdate => C:\Windows\system32\shutdown.exe [53248 2021-05-08] (Microsoft Windows -> Microsoft Corporation) -> -r -f -t 10
R2 Mesh Agent; C:\Program Files\Mesh Agent\MeshAgent.exe [3482312 2026-02-10] (meshtech.myftp.org-98ccc1 -> ) [Файл не подписан]
2026-02-11 00:09 - 2026-02-11 00:09 - 000003178 _____ C:\Windows\system32\Tasks\PUpdate
2026-02-10 23:02 - 2026-02-10 23:03 - 000000000 ____D C:\Program Files\Mesh Agent
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь

+

Проверьте содержимое этой папки:

2026-02-10 23:01 - 2026-02-10 22:57 - 000000000 ____D C:\tmp

так же проверьте содержимое папки среди удаленных файлов, что там еще есть.

Можно с помощью этой программы.

https://rlab.ru/tools/rsaver.html

 

safety

safety

Опубликовано
Опубликовано (изменено)

+

Проверьте содержимое этой папки:

2026-02-10 23:01 - 2026-02-10 22:57 - 000000000 ____D C:\tmp

так же проверьте содержимое этой папки среди удаленных файлов, что там еще есть.

Можно с помощью этой программы.

https://rlab.ru/tools/rsaver.html

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Здесь понятно: MeshAgent и DiskCryptor.

Других файлов не было?

Среди удаленных файлов в этой папке нашли что-то?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • AAS
      Зашифрованы файлы на компьютере. Вымогатель BagIRA. Расширение kRvWxoD5n
      Автор AAS
      На компьютере были зашифрованы файлы. Переписка с вымогателем и зараженные файлы (с незараженными оригиналами) в приложение. 
      Если есть возможность проанализировать шифровку и в идеале сказать как дешифровать - будем БЛАГОДАРНЫ. 
      А так на будущее, для других, что появилась новая группа мошенников - упоминание про них мы не нашли
       
      kRvWxoD5n.README.txt
      зараженные_файлы.zip
    • real_admin
      Зашифрованы диски на 20 серверах в одном домене. Выводится следующее сообщение - FOR UNLOCK - CONTACT TELEGRAM @BeGood327
      Автор real_admin
      Пришли с утра в офис и обнаружили, что некоторые компьютеры не включаются. Есть сервер виртуализации на котором несколько серверов - там висит сообщение - FOR UNLOCK - CONTACT TELEGRAM @BeGood327. При этом некоторые пользовательские ПК включились и работают нормально. Касперский антивирус установлен на серверах. В архиве в скриншотах прикладываю переписку с мошенниками. Зашифрованных файлов нет - зашифрованы разделы на дисках с помощью dcrypt и MeshAgent. 
      Архив.zip FRST (1).txt Addition (1).txt
    • Вадим22222
      Шифровальщик @BeGood327
      Автор Вадим22222
      Сервера и рабочие станции зашифрованы, выдает окно с предложением обратится в телеграмм@BeGood327
    • itvasily
      Шифровальщик @BeGood327.
      Автор itvasily
      Всем доброго времени суток! Зашифровали все диски на сервере, помогите пожалуйста расшифровать. Такая ситуация, ранее диски на сервере шифровали программой VeraCrypt, и всё прекрасно заходилось под нашим паролем. Сеть доменная. В настоящее время злоумышленник через RDP подобрал пароль к серверу через программу подбора AccountRestore2, которую оставил как след, и поменял пароль на дисках. Оставили послание: FOR UNLOCK - CONTACT TELEGRAM @BeGood327 ENTER PASSWORD: 
      Сканирование логов прикрепляю во вложении, дополнительную информацию отпишу в ЛС.
      Addition.txt FRST.txt
    • Буп
      Шифровальщик @BeGood327
      Автор Буп
      Зашифровали данные у всех компьютеров, что были в сети. 
      Выдаёт везде сообщение:
      FOR UNLOCK - CONTACT TELEGRAMM @BeGood327
×
×
  • Создать...