Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Вымогатель BagIRA. Расширение kRvWxoD5n

Yaheni
 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Упакуйте в архив папку C:\KVRT2020_Data\Reports и прикрепите к следующему сообщению.

safety

safety

Опубликовано
Опубликовано (изменено)

Есть ли понимание того, откуда мог взяться шифровальщик на устройстве?

Что то скачали из сети, чтобы открыли из почты? Что-то другое?

 

Рабочий стол можете показать после шифрования?

 

Есть что-то подобное?

 

image.png

Изменено пользователем safety
Yaheni

Yaheni

Опубликовано
  • Автор
Опубликовано

Ничего подобного на рабочем столе нет , попал в сеть путем брутфорса пароля vpn пользователя , дальше уже забрутфорсил системные учетки, параллельно создает политики в gpo с рассылкой трояна (Каспер его обнаружил, но не смог предотвратить шифрование ) 

Параллельно уничтожает службы отвечающие за теневое копирование , iis, работают только в свежих системах (windows 10-11, Ubuntu 24.04, windows server 2016 и выше), на windows 7 и старых серверах ничего не делает 

Может быть это beluga , как писали в другой ветке ? Есть ли возможность попробовать какой либо дешифратор ?

safety

safety

Опубликовано
Опубликовано (изменено)
В 10.03.2026 в 17:17, Yaheni сказал:

Каспер его обнаружил, но не смог предотвратить шифрование

можете показать детект Касперского, восстановить файл из карантина, заархивировать файл с паролем virus, и добавить архив в ваше сообщение? С каким именем находится файл шифровальщика?

+

коллега попросил вас добавить отчеты из KVRT

Цитата

Упакуйте в архив папку C:\KVRT2020_Data\Reports и прикрепите к следующему сообщению.

+

Цитата

Есть ли возможность попробовать какой либо дешифратор ?

Возможность попробовать какой-либо дешифратор всегда есть, другое дело поможет ли данный дешифратор вам?

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано
2 часа назад, Yaheni сказал:

параллельно создает политики в gpo с рассылкой трояна

Если вы владеете информацией, можете скинуть файл политики, или по крайней мере привести команду запуска сэмпла в политике? Возможно в командной строке будет важная и полезная информация.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ValeryZ
      Помогите расшифровать файлы с расширением .lokbt и i6ExcKHMZ
      Автор ValeryZ
      Добрый день прошу помощи в расшифровке файлов и определении наименования шифровальщика. Приложил копии файлов в архиве зашифрованные и оригиналы (того что есть). Заранее спасибо
      11111.zip
    • Alex_88
      Шифровальщик BOBCAT
      Автор Alex_88
      Добрый день!
      Столкнулись с шифровальщиками, FRST логи и файлы прилагаю, просьба помочь с расшифровкой данных. 
       
      Desktop.rar tuE65Ab7X.README.txt Счет на оплату № УТ-258 от 04.10.2023.pdf.rar
    • lomani
      Шифровальщик файлов и выкуп
      Автор lomani
      Зашифровал файлы и требует выкуп.
      Вскрыл 2 скрытых диска\раздела. 1 диск для автоматического архивирования и загрузочный раздел, также диск C . (диск С зашифровал не полностью) . до остальных дисков не добрался.
       
      Addition.txt FRST.txt vir.7z
    • Alex_88
      Шифровальщик keepsecrets@tutanota.de
      Автор Alex_88
      Добрый день!
      Столкнулись с шифровальщиками, логи FRST сделать уже не возможности...
      ИП.cfe.rar dRip8TLmq.README.txt
    • Константин2026
      файлы зашифрованы Trojan.Encoder.31074 (Lockbit)
      Автор Константин2026
      Прошу помощи с расшифровкой файлов после Trojan.Encoder.31074
      Систему пока что не перезагружали.
      Прилагаю логи Farbar Recovery Scan Tool и архив с двумя зашифрованными файлами и запиской о выкупе.
      Addition.txt FRST.txt
      README.rar
×
×
  • Создать...