Перейти к содержанию

Шифровальщик *имя файла*.id-0AF0714B.[bitpandacom@qq.com].combo

vovanfun
 Share

Рекомендуемые сообщения

vovanfun Новичок

vovanfun

Опубликовано
Опубликовано (изменено)

Наберая этот пост второй раз и изложу суть кратко, потом дополню (выключался свет)

Заражение через RDP (зараженную машину еще ищем, сервер пока стоит выключеный, я еще буду искать по логам, кто это мог быть)
 
Зашло через учетку client1, записались файлы 10.08.2018, а запустились после перезапуска серевера 16.08.2018 (файлик был в Task и Startup папках)

Прикладываю, сам вирус шифровальщика, который я нашел, зашифрованные файлы и скриншот цены вымогателя.
1taskp.7z - сам вирус для анализа- пароль 1111 (четыре единицы)
Лог антивируса позже скину (забыл на работе), Вовремя выключил сервер из 160 Гб (архив за 8 лет) "файловой помойки" защифровало 2,8 Гб ... 
НЕ зашифровало файл базы данных, он был открыт в FireBird. Значит с открытыми файлами он не работает в шифрование. 

Восстанавливал все что целое переносом на другой сервер с помощью LiveUSB 2k10, скопировал на жеский диск который и перенес.

Вторые сутки без сна. Берегите машины и пароли RDP

Отосплюсь, отвечу на все вопросы или если кто подскажет как расшифровать - испробую. 
*есть один расшифрованый файлик, присланный вымогателем. я его прикрепил тоже 02210112.JPG (зашифрованный в архиве)

Их кошелек на который деньги собирают:
 

1Q1rUuBjq9HmzDsuT9EZoYWG7J1sQFPLca[/size]


Строгое предупреждение от модератора thyrex
Не нужно прикреплять вредоносы

зашифрованные файлы для анализа.zip

post-50762-0-96115100-1534551483_thumb.png

post-50762-0-44611400-1534552011_thumb.jpg

Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты
  • 4 weeks later...
Андрей Борисович Новичок

Андрей Борисович

Опубликовано
Опубликовано

Строгое предупреждение от модератора kmscom
Оказывать любую поддержку пользователям (в частности, предлагать сценарии и способы устранения проявлений и/или последствий работы вредоносного ПО) в рамках раздела форума «Уничтожение вирусов» могут исключительно пользователи из группы Консультанты (консультанты).

Сообщение от модератора kmscom
За первоначальное нарушение пункта 2.2 (в частности, публикации сообщения касательно невыполнения порядка оформления запроса о помощи на протяжении 3 часов после размещения в теме последнего сообщения пользователя, который обратился за помощью) сообщение нарушителя удаляется.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Эдуард Прокопенко
      Расшифровка шифровальщика Crylock 2.0 [honestandhope@qq.com]
      От Эдуард Прокопенко
      Здравствуйте! Почти 4 года назад словили шифровальщик и почти весь hdd с файлами попал под него. Просьба посмотреть, можно ли расшифровать. Скидываю пару тестовых файлов
      files.rar
      Addition.txt FRST.txt
    • ALFGreat
      Шифровальщик BitLocker зашифровал все диски и файлы.
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Тимур М
      Шифровальщик Demetro9990@cock.li зашифровал все файлы на ПК
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
    • Maximus02
      Шифровальщик. Окончание файлов .tae7AeTe
      От Maximus02
      1.zip
       
      Здравствуйте!
       
      Словили шифровальшик. Пока не выяснили источник, где был произведен запуск шифровальщика. Есть зашифрованные файлы с размером и окончанием .tae7AeTe. Также есть оригинальный файл с нулевым окончанием. Зашифровано все на NAS Synology.
      Помогите пожалуйста с расшифровкой, если это возможно.
    • ovfilinov
      поймали шифровальщика - дописывает после расширения файла 6a19a55854eee3
      От ovfilinov
      Группа серверов на основе Виндовс сервер 2008 2016 в локальной сети в домене виндовс.
      на виртуальных машинах на разных гипервизорх: Vmware Hyper-V
      На них установлен kaspersky Securiti for windows server версия вероятно 10.1
      неожиданно перестали работать
      при загрузке с лайф сд обнаружены что файлы зашифрованы и выглядят:
      имя файла.расширение.6a19a55854eee3 например:
      IT Invent_export_14-09-2022.xls.6a19a55854eee3
      а также в каждый каталог добавлен файл с вымогательством
      6a19a55854eee3-README.txt
      при обнаружении все компьютеры были выключены.
       
      files.zip FRST.txt
×
×
  • Создать...