Перейти к содержанию

Поймал шифровальщика

8866962
 Поделиться

Рекомендуемые сообщения

8866962

8866962

Опубликовано
Опубликовано
Вашu фaйлы были зашифрованы.

Чmoбы pасшuфpовamь ux, Baм необxoдuмo отпрaвиmь koд:

7D7C470B8B700DDA3406|0

на элekтpoнный aдpеc Novikov.Vavila@gmail.com .

Далeе вы noлyчuтe вcе неoбxoдимыe инcтpукциu.

Пonыткu рacшифpовaть сaмoстoяmeльно не npuвeдym ни к чему, kpомe бeзвoзврaтной потepu uнфоpмациu.

Еcли вы вcё же xотитe nоnытаться, mо предвaриmeльнo сдeлайmе pезеpвныe кonuu файлoв, иначе в cлучae

uх uзмeнeния рacшифровкa cmанет нeвозмoжнoй ни nри каких условuях.

Еслu вы не полyчили отвеmа пo вышеykaзaнномy aдрeсy в течeние 48 чacов (u mольkо в эmом случае!),

вocnoльзyйmecь фоpмой обpаmной связи. Эmo можно cделamь двумя сnoсобамu:

1) Ckaчaйme и уcmановиmе Tor Browser nо cсылkе: https://www.torproject.org/download/download-easy.html.en

B адpeснoй cmpокe Tor Browser-a ввeдиmе aдpес:


README1.txt

regist

regist

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

 

С расшифровкой помочь не сможем, только вирус почистим.

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\docume~1\admin\locals~1\temp\534cefe1.exe');
 TerminateProcessByName('c:\docume~1\admin\locals~1\temp\826b6ee8.exe');
 TerminateProcessByName('c:\docume~1\admin\locals~1\temp\8f5ccd97.exe');
 TerminateProcessByName('c:\docume~1\admin\locals~1\temp\rar$dia0.895\scanpage53.scr');
 QuarantineFile('c:\docume~1\admin\locals~1\temp\534cefe1.exe', '');
 QuarantineFile('c:\docume~1\admin\locals~1\temp\826b6ee8.exe', '');
 QuarantineFile('c:\docume~1\admin\locals~1\temp\8f5ccd97.exe', '');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\A86B5C6747183B1C9BBB4181C53F302D.dll', '');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\_MEI52682\python27.dll', '');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe', '');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Csrss\csrss.exe', '');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Drivers\csrss.exe', '');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\services\csrss.exe', '');
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\SysWOW64\scKeatwM.cmd', ''); QuarantineFileF('C:\Documents and Settings\All Users\Application Data\Csrss\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\Program Files\askpartnernetwork\toolbar\orj-spe\passport.dll', '');
 QuarantineFile('C:\Program Files\askpartnernetwork\toolbar\updatemanager.exe', '');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\yupdate.exe-{8DB75EBC-970F-45EB-B439-8F96905A3D2E}', '');
 QuarantineFile('c:\documents and settings\admin\local settings\temp\48880E93-767B6E07-1538FFC8-732EC19B\3d5a8b4394b.sys', '');
 QuarantineFile('c:\docume~1\admin\locals~1\temp\rar$dia0.895\scanpage53.scr', '');
 QuarantineFileF('C:\Documents and Settings\All Users\Application Data\Drivers\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\program files\askpartnernetwork\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Program Files\askpartnernetwork\toolbar\orj-spe\passport.dll');
 DeleteFile('C:\Program Files\askpartnernetwork\toolbar\updatemanager.exe');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\_MEI52682\python27.dll', '32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe', '32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Csrss\csrss.exe', '32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Drivers\csrss.exe', '32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\services\csrss.exe', '32'); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\A86B5C6747183B1C9BBB4181C53F302D.dll', '');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\A86B5C6747183B1C9BBB4181C53F302D.dll');
 DeleteFile('c:\docume~1\admin\locals~1\temp\rar$dia0.895\scanpage53.scr');
 DeleteFileMask('C:\Documents and Settings\All Users\Application Data\Csrss\', '*', true);
 DeleteFileMask('C:\Documents and Settings\All Users\Application Data\Drivers\', '*', true);
 DeleteDirectory('C:\Documents and Settings\All Users\Application Data\Csrss\');
 DeleteDirectory('C:\Documents and Settings\All Users\Application Data\Drivers\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'NetworkSubsystem');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CSRSS');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Session Manager');
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ClearTemp');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:


begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

 

remote manipulator system - server - сами ставили?

Изменено пользователем regist
лишние пробелы в скрипте
8866962

8866962

Опубликовано
  • Автор
Опубликовано

Подскажите пожалуйстачто сделать с расшифрофкой ???  утеряны ОЧЕНЬ важные документы ;-((



 

remote manipulator system - server - сами ставили?

 

 

Нет не устанавливал..

regist

regist

Опубликовано
Опубликовано

 

 


Подскажите пожалуйстачто сделать с расшифрофкой ??? утеряны ОЧЕНЬ важные документы ;-((
как бы не банально это не звучало, но думать об этом надо было заранее. А сейчас советую заявление в полицию писать.

 

Скрипт выполняйте, шифратор и не только у вас до сих пор активен.

 

 


remote manipulator system - server - сами ставили? Нет не устанавливал..
значит плюс ко всему посторонний человек имеет полный доступ к вашей системе. Чем это грозит думаете и так понимаете.
8866962

8866962

Опубликовано
  • Автор
Опубликовано

А подскажите пожалуйста каким именно шифровальщиком у меня зашифрованы файлы ?

regist

regist

Опубликовано
Опубликовано

 

 


каким именно шифровальщиком у меня зашифрованы файлы ?
Shade.

 

Вы скрипт выполнять будете или просто поболтать тему создали? Не забывайте, что он у вас всё ещё работает и продожает шифровать.

8866962

8866962

Опубликовано
  • Автор
Опубликовано

 

каким именно шифровальщиком у меня зашифрованы файлы ?

Shade.

 

Вы скрипт выполнять будете или просто поболтать тему создали? Не забывайте, что он у вас всё ещё работает и продожает шифроват

 

 

 

 

Да какое там "поболтать" :-((( Я в ужасе от ситуации !

Я переживаю за то что после выполнения скрипта исчезнет какой нибудь ключ или еще что то произойдет и дефиыровка будет невозмочна окончательно !

 

https://virusinfo.info/virusdetector/report.php?md5=2F44EA589889085F87A08F9074669E4E

Уважаемый пользователь! Благодарим Вас за использование сервиса VirusDetector! 

Антивирусная онлайн-проверка вашей системы завершена. Архив с карантином (MD5: 2F44EA589889085F87A08F9074669E4E) был успешно обработан системой CyberHelper.

Ознакомиться с подробными результатами анализа можно по следующим ссылкам:

 

Результаты проверки онлайн-сервисом VirusDetector » 

Обсуждение результатов проверки » 

 

Сообщение от модератора Mark D. Pearlstone
Чрезмерное цитирование удалено.

Не нужно каждый раз цитировать сообщения. Пользуйтесь кнопкой изменить для добавления информации.

 

Прошу прощения...

 

KLAN-6589562835

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

 

В следующих файлах обнаружен вредоносный код:

534cefe1.exe - Trojan.Win32.Agent.nezeod

826b6ee8.exe - Trojan-Ransom.Win32.Agent.ivl

8f5ccd97.exe - Trojan.Win32.Agent.nevnwq

A86B5C6747183B1C9BBB4181C53F302D.dll - Trojan-Ransom.Win32.Agent.ixi

csrss_0.exe - Trojan.Win32.Agent.nevnwq

csrss_1.exe - Trojan.Win32.Agent.nezeod

csrss_2.exe - Trojan-Ransom.Win32.Agent.ivl

bcqr00001.dat - Trojan.Win32.Agent.nezeod

bcqr00002.dat - Trojan.Win32.Agent.nezeod

bcqr00003.dat - Trojan-Ransom.Win32.Agent.ivl

bcqr00004.dat - Trojan-Ransom.Win32.Agent.ivl

bcqr00005.dat - Trojan.Win32.Agent.nevnwq

bcqr00006.dat - Trojan.Win32.Agent.nevnwq

 

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:

csrss.exe - not-a-virus:NetTool.Win32.TorJok.eq

passport.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

updatemanager.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

APNNativeMsgHost.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

apnmcp.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

APNSetup.exe - not-a-virus:WebToolbar.Win32.Asparnet.ay

BrowserHost.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

DeskBar.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

searchhook.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

ServiceLocator.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

SO.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

toolbar.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

Toolbar.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

ToolbarPS.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

TopSitesRT.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

APNNativeMsgHost_0.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

apnmcp_0.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

BrowserHost_0.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

DeskBar_0.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

searchhook_0.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

ServiceLocator_0.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

SO_0.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

toolbar_0.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

Toolbar_0.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

ToolbarPS_0.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

TopSitesRT_0.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

UpdateManager.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

tbnhlpr_x64.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

TBNotifier.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

Passport.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

Passport_x64.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

vntldr.exe - not-a-virus:WebToolbar.Win32.Asparnet.ay

Passport_0.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

APNNativeMsgHost_1.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

apnmcp_1.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

BrowserHost_1.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

DeskBar_1.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

searchhook_1.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

ServiceLocator_1.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

SO_1.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

toolbar_1.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

Toolbar_1.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

ToolbarPS_1.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

TopSitesRT_1.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

UpdateManager_0.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

tbnhlpr_x64_0.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

TBNotifier_0.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

Passport_1.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

Passport_x64_0.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

vntldr_0.exe - not-a-virus:WebToolbar.Win32.Asparnet.ay

TBNotifier_1.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

 

В антивирусных базах информация по присланным вами файлам отсутствует:

scKeatwM.cmd

com.apn.native_messaging_host_aaaaaiabcopkplhgaedhbloeejhhankf.json

com.apn.native_messaging_host_aaaaaiabcopkplhgaedhbloeejhhankf_0.json

toolbar_x64.dll

tbnhlpr.exe

IdcLdr.exe

IdcLdr_x64.exe

IdcSrv.dll

IdcSrvStub.dll

IdcSrvStub_x64.dll

IdcSrv_x64.dll

vntsrv.dll

com.apn.native_messaging_host_aaaaahaeginbdcckocjkhbciadcafnep.json

com.apn.native_messaging_host_aaaaahlfahldnilidgnlikdckbfehhca.json

toolbar_x64_0.dll

tbnhlpr_0.exe

IdcLdr_0.exe

IdcLdr_x64_0.exe

IdcSrv_0.dll

IdcSrvStub_0.dll

IdcSrvStub_x64_0.dll

IdcSrv_x64_0.dll

vntsrv_0.dll

tbnhlpr_1.exe

bcqr00019.dat

bcqr00020.dat

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Все выполнил.

CollectionLog-2017.07.30-16.25.zip

regist

regist

Опубликовано
Опубликовано (изменено)

1)

Java(TM) 6 Update 16 [20150326]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216016FF}
McAfee Security Scan Plus [2016/10/30 08:08:59]-->"C:\Program Files\McAfee Security Scan\uninstall.exe"
Shopping App by Ask [20161111]-->MsiExec.exe /X{4F524A2D-5354-2D53-5045-A758B70C2D01}

2)

Unity Web Player [2015/09/06 10:32:34]-->C:\Documents and Settings\Admin\Local Settings\Application Data\Unity\WebPlayer\Uninstall.exe /CurrentUser
Амиго [20150526]-->"C:\Documents and Settings\Admin\Local Settings\Application Data\Amigo\Application\42.0.2311.254\Installer\setup.exe" --uninstall

Если не используете, тоже деинсталируйте.

 

3) Проверьте эти файлы на virustotal

C:\DOCUME~1\ALLUSE~1\APPLIC~1\SysWOW64\scKeatwM.cmd

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
 

4) На всякий случай создайте точку восстановления системы.

 

5)

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\_MEI14202\python27.dll', '');
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\SysWOW64\scKeatwM.cmd', '');
 QuarantineFile('c:\documents and settings\admin\local settings\temp\F0074490-9B184F00-ED191770-A87DC620\2a5c20c2a.sys', '');
 QuarantineFileF('c:\program files\remote manipulator system - server\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('c:\documents and settings\admin\local settings\temp\F0074490-9B184F00-ED191770-A87DC620\2a5c20c2a.sys', '32');
 DeleteFileMask('c:\program files\remote manipulator system - server\', '*', true);
 DeleteDirectory('c:\program files\remote manipulator system - server\');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteRepair(2);
 ExecuteRepair(3);
 ExecuteRepair(21);
 ExecuteRepair(4);
 ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:


begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
6) Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

 

Изменено пользователем regist
8866962

8866962

Опубликовано
  • Автор
Опубликовано

C:\DOCUME~1\ALLUSE~1\APPLIC~1\SysWOW64\scKeatwM.cmd

- Этого файла в системе не нашлось

 

KLAN-6592760952

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
scKeatwM.cmd
dsfVorbisDecoder.dll
dsfVorbisEncoder.dll
HookDrv.dll
vp8encoder.dll
bcqr00003.dat
bcqr00004.dat
Файлы переданы на исследование.

 

Образ автозапуска сделал

MICROSOF-1FABF9_2017-07-31_11-40-01.7z

Sandor

Sandor

Опубликовано
Опубликовано

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Remote Manipulator System - Server

Search App by Ask

Shopping App by Ask

Служба автоматического обновления программ

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Sandor

Sandor

Опубликовано
Опубликовано

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alexlaev
      Поймали шифровальщик
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • IrinaC
      Поймали шифровальщика
      Автор IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • Insaff
      Поймали Шифровальщика
      Автор Insaff
      Во всех расшареных папках зашифрованы файлы.
      Файлы имеют расширение ELPACO-team-***gCG***
      в некоторых папках лежит письмо с текстом
       
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by ELPACO-team
      Your decryption ID is *****QR14*ELPACO-team-gCG****
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - el_kurva@tuta.io
      2) Telegram - @DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      Написал я им на почту, пришел ответ, что надо заплатить 0,25 биткоина (получается около 1,5 млн)
      Есть ли Возможность у ко-нить за вознаграждение, чуть меньшее)) помочь с этим шифровальщиком.
       
       
      Молотки Можайск.pdf.zip
    • figabra
      Поймал шифровальщик
      Автор figabra
      Добрый день!
       
      Поймал шифровальщик Trojan-Ransom.Win32.Phobos.vho
      Все файлы имеют расширение .deep
      Помогите пожалуйста с расшифровкой.
       
      Заранее спасибо!
       
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь  
    • yarosvent
      поймали шифровальщика
      Автор yarosvent
      Доброго,
      просим помочь расшифровать данные
×
×
  • Создать...