Перейти к содержанию

Шифровальщик no_more_ransom


Рекомендуемые сообщения

Адварь и следы вымогателя очищены. С расшифровкой помочь не сможем.

Здравствуйте, у меня та же самая ситуация. Один в один. Меня попросили помочь с такой же проблемой.

 

Соответственно следил за перепиской.

 

Я думаю что у на с один и тот же шифровальщик.

 

Вот что мне получилось выяснить:

 

В данной рассылке пришло письмо с вложением.- документ257.doc

 

В файле ссылка с анкором www.rostelecom.ru/335999028, но ссылка ведёт на [ссылка]

 

При переходе открывается пустой html документ с метатегом <meta http-equiv="refresh" content="2; [ссылка]

 

Соответственно он перезагружает страницу и предлагает скачать Schet.Rostelecom.zip

 

В zip файле -> Счет Ростелеком 17.02.2017 (исправленный).xls.js 

 

Это и есть шифратор.

 

прикрепляю zip со всем этим добром.

 

Так же в нём два файла с системы с которой я всё и узнал - один зашифрованный, а второй чистый этот же, так же файлы README1.txt.

 

По коду шифровальщик кажется себя удаляет, пока не разбирался.

 

Может всё таки получится что.

 

Спасибо.

 

 

 

Осторожно не запускайте, что скачаете ПО ССЫЛКАМ))) Пока браузеры на данные сайты не ругаются!

Изменено пользователем Sandor
Убрал ссылки и файл
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Александр94
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • BOBO
      От BOBO
      Попросили создать новую тему не знаю почему ту закрыли вот создаю. Меня тоже взломали 25 числа hdd весит на роутере, smb открыт был. Покапалься в файлах были несколько оригинальных файлов и вроде шифрование AES в режиме ECB. Встал вопрос можно ли найти ключ шифрования если например нашел зашифрованный блок пробелов 16 байт. 
    • FineGad
      От FineGad
      26.12.24 На файловом сервере (комп с Debian) в расшареных каталогах заметил текстовый файл !want_to_cry.txt 
      Просканировал все каталоги доступные по сети (SMB) зашифрованные файлы с расширением .want_to_cry по времени создания файлов видно что шифровальщик проработал примерно с 24.12.24 20:05  по 25.12.24 03:05 после чего сервер "завис". Сейчас шифровщик не активен (новые шифрованные файлы не появляются). Доступа к сети извне нет, кроме SSH с ключом шифрования. В сети кроме моего во время активности были еще 2 компьютера под управление Windows.
       
      !want_to_cry.txt
    • IrinaC
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • ad_art
      От ad_art
      Здравствуйте, требуется помощь в расшифровке файлов.
      Прилагаю образец вируса в запароленном архиве, ключи реестра содержащие данные для шифрации.
      First.txt Addition.txt Зашифрованные файлы.7z Оригинальные файлы.7z virus_sample.7z Требования вируса.7z reg_keys.7z
×
×
  • Создать...