Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Шифровальщик *имя файла*.id-0AF0714B.[bitpandacom@qq.com].combo

vovanfun
 Поделиться

Рекомендуемые сообщения

vovanfun

vovanfun

Опубликовано
Опубликовано (изменено)

Наберая этот пост второй раз и изложу суть кратко, потом дополню (выключался свет)

Заражение через RDP (зараженную машину еще ищем, сервер пока стоит выключеный, я еще буду искать по логам, кто это мог быть)
 
Зашло через учетку client1, записались файлы 10.08.2018, а запустились после перезапуска серевера 16.08.2018 (файлик был в Task и Startup папках)

Прикладываю, сам вирус шифровальщика, который я нашел, зашифрованные файлы и скриншот цены вымогателя.
1taskp.7z - сам вирус для анализа- пароль 1111 (четыре единицы)
Лог антивируса позже скину (забыл на работе), Вовремя выключил сервер из 160 Гб (архив за 8 лет) "файловой помойки" защифровало 2,8 Гб ... 
НЕ зашифровало файл базы данных, он был открыт в FireBird. Значит с открытыми файлами он не работает в шифрование. 

Восстанавливал все что целое переносом на другой сервер с помощью LiveUSB 2k10, скопировал на жеский диск который и перенес.

Вторые сутки без сна. Берегите машины и пароли RDP

Отосплюсь, отвечу на все вопросы или если кто подскажет как расшифровать - испробую. 
*есть один расшифрованый файлик, присланный вымогателем. я его прикрепил тоже 02210112.JPG (зашифрованный в архиве)

Их кошелек на который деньги собирают:
 

1Q1rUuBjq9HmzDsuT9EZoYWG7J1sQFPLca[/size]


Строгое предупреждение от модератора thyrex
Не нужно прикреплять вредоносы

зашифрованные файлы для анализа.zip

post-50762-0-96115100-1534551483_thumb.png

post-50762-0-44611400-1534552011_thumb.jpg

Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты
  • 4 недели спустя...
Андрей Борисович

Андрей Борисович

Опубликовано
Опубликовано

Строгое предупреждение от модератора kmscom
Оказывать любую поддержку пользователям (в частности, предлагать сценарии и способы устранения проявлений и/или последствий работы вредоносного ПО) в рамках раздела форума «Уничтожение вирусов» могут исключительно пользователи из группы Консультанты (консультанты).

Сообщение от модератора kmscom
За первоначальное нарушение пункта 2.2 (в частности, публикации сообщения касательно невыполнения порядка оформления запроса о помощи на протяжении 3 часов после размещения в теме последнего сообщения пользователя, который обратился за помощью) сообщение нарушителя удаляется.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Kdademon
      Помогите в расшифровке файлов после вируса шифровальщика Trojan-Ransom.Win32.Mimic.gen
      Автор Kdademon
      02.072025 обнаружили что на 2 компа (Windows 7) попал вирус шифровальщик 
      подключились предположительно по RDP
      зашифровали все базы 1с, бэкапы, архивы, документы
      файл с обращением от вымогателей нашли
      Kaspersky Virus Removal Tool нашел вируc HEUR:Trojan-Ransom.Win32.Mimic.gen

      Подскажите порядок действий по лечению этих компов и возможна ли дешифровка?
      Как можно обезопасится от подобного?
      Поможет ли установка Kaspersky на все компьютеры сети?

      Во вложении архив с примерами зашифрованных файлов из папки php
      Файлы постарался выбрать стандартные, общеизвестные может поможет в дешифровке
      Также приложил скрин с проверкой от Kaspersky Virus Removal Tool

      php.rar
    • Fantamax
      Шифровальщик - вымогатор поменял расширение файлов на i54m390g5b4
      Автор Fantamax
      Добрый день. Сегодня в 6 утра вирус поменял расширение у многих файлов и зашифровал. 
      Похожая тема была, но у меня есть бекапы некоторых файлов, можно ли расшифровать (файл бекапа тоже прикрепил в архив):
       
      Addition.txt FRST.txt files.rar
    • 08Sergey
      Шифровальщик .eking
      Автор 08Sergey
      Всем привет! Помогите пожалуйста, зашифровало файловый сервер, много текстовых документов, стандартные средства не помогли, есть оригинал файла и зашифрованный (в архиве), система переустановлена, письмо с требованиями не найдено...
      eking.zip
    • Павел Бурдейный
      Помощи с шифровальщиком
      Автор Павел Бурдейный
      Сегодня схватили шифровальщика. Имя файла изменилось на Лист Microsoft Office Excel.xlsx.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK . Прошу помочь в решении проблемы
      Лист Microsoft Office Excel.xlsx
    • Александр_vgau
      шифровальщик banta
      Автор Александр_vgau
      Шифровальщик изменил файлы данных внутри сети на всех серверах и рабочих станциях с ОС Windows где был доступ по протоколу rdp или общие папки, часть бэкапов удалил.
      Антивирус не реагирует (все обновления установлены), наблюдали шифрование в режиме реального времени Антивирус спокойно наблюдал за шифрованием.
      Требования и файлы.rar Вирус.zip FRST.txt Addition.txt
×
×
  • Создать...