Перейти к содержанию

hola@all-ransomware.info.ver-CL 1.5.1.0 Шифровальщик

Олег Гиринский

От Олег Гиринский
в Помощь в борьбе с шифровальщиками-вымогателями

 Share

Рекомендуемые сообщения

Олег Гиринский Новичок

Олег Гиринский

Опубликовано
Опубликовано

Добрый день, все банально бухгалтер открыл ссылку в почте, когда меня позвали все уже было зашифровано, бухгалтер слезно просит помочь.... 

Все файлы теперь выглядят так email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-2432060786-144548372073082527006812

CollectionLog-2018.09.04-11.53.zip

FRST.txt

шифрованный файл.rar

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, расшифровки этого типа вымогателя нет.

 

Для очистки следов и мусора:

 

"Пофиксите" в HijackThis:

O2 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O4 - HKCU\..\Run: [2432060786] = C:\Users\ЭКОНОМИСТ\AppData\Local\Temp\KKLMNNOPQR.exe  (file missing)
O4 - MSConfig\startupreg: 2377655 [command] = 2377655 (HKLM) (2018/09/04) (file missing)
O4 - MSConfig\startupreg: 3869733 [command] = 3869733 (HKLM) (2018/09/04) (file missing)
O4 - MSConfig\startupreg: Bron-Spizaetus [command] = C:\Windows\ShellNew\bronstab.exe (HKLM) (2015/02/02) (file missing)
O4 - MSConfig\startupreg: Browser Manager [command] = C:\Users\ЭКОНОМИСТ\AppData\Local\Yandex\BrowserManager\BrowserManager.exe (HKCU) (2015/10/13) (file missing)
O4 - MSConfig\startupreg: Tok-Cirrhatus [command] = C:\Users\Администратор.SRB\AppData\Local\smss.exe (HKCU) (2015/02/02) (file missing)
Прикрепите дополнительный отчет FRST под именем Addition.txt
Ссылка на комментарий
Поделиться на другие сайты
Олег Гиринский Новичок

Олег Гиринский

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

К сожалению, расшифровки этого типа вымогателя нет.

 

Для очистки следов и мусора:

 

"Пофиксите" в HijackThis:

O2 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O4 - HKCU\..\Run: [2432060786] = C:\Users\ЭКОНОМИСТ\AppData\Local\Temp\KKLMNNOPQR.exe  (file missing)
O4 - MSConfig\startupreg: 2377655 [command] = 2377655 (HKLM) (2018/09/04) (file missing)
O4 - MSConfig\startupreg: 3869733 [command] = 3869733 (HKLM) (2018/09/04) (file missing)
O4 - MSConfig\startupreg: Bron-Spizaetus [command] = C:\Windows\ShellNew\bronstab.exe (HKLM) (2015/02/02) (file missing)
O4 - MSConfig\startupreg: Browser Manager [command] = C:\Users\ЭКОНОМИСТ\AppData\Local\Yandex\BrowserManager\BrowserManager.exe (HKCU) (2015/10/13) (file missing)
O4 - MSConfig\startupreg: Tok-Cirrhatus [command] = C:\Users\Администратор.SRB\AppData\Local\smss.exe (HKCU) (2015/02/02) (file missing)
Прикрепите дополнительный отчет FRST под именем Addition.txt

 

Еперный театр...((

Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Пожалуйста, не цитируйте полностью все предыдущее сообщение. Используйте форму быстрого ответа.

 

HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ATTENTION

HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe <==== ATTENTION

HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe <==== ATTENTION

HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ATTENTION

Эти политики настраивали самостоятельно?
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Два антивируса - много. Один оставьте, один удалите:

AV: ESET Smart Security 5.0

AV: 360 Total Security

Затем пройдитесь соотв. утилитой - Чистка системы после некорректного удаления антивируса.

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

AVG Security Toolbar

Browser Tab Search by Ask for Internet Explorer

Далее:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe <==== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe <==== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ATTENTION
HKU\S-1-5-21-4219876127-2514723512-3341500011-1156\...\Run: [2432060786] => C:\Users\F781~1\AppData\Local\Temp\KKLMNNOPQR.exe <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-4219876127-2514723512-3341500011-1156 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF SearchPlugin: C:\Users\ЭКОНОМИСТ\AppData\Roaming\Mozilla\Firefox\Profiles\04k30q7o.default\searchplugins\README.txt [2018-09-04]
S3 4F952FBC54BCAFF6; \??\C:\Windows\TEMP\2AA1F00.sys [X]
S3 4F95495156360AF6; \??\C:\Windows\TEMP\1DA4487.sys [X]
S3 4F958DCAECF73D76; \??\C:\Windows\TEMP\27DE44E.sys [X]
S3 4F959958C4805676; \??\C:\Windows\TEMP\264580C.sys [X]
S3 4F95EFDEF85996F6; \??\C:\Windows\TEMP\208B777.sys [X]
S3 4F963724F4726EF6; \??\C:\Windows\TEMP\1F8304C.sys [X]
S3 4F979C53B63BAEF6; \??\C:\Windows\TEMP\1F9BBB7.sys [X]
S3 4F979C541F0BC576; \??\C:\Windows\TEMP\1F1A6B8.sys [X]
S3 4F979D100F2C2D76; \??\C:\Windows\TEMP\3BE1545.sys [X]
S3 4F979D1054EA14F6; \??\C:\Windows\TEMP\3780436.sys [X]
S3 4F979D1F940A9AF6; \??\C:\Windows\TEMP\201BA01.sys [X]
S3 4F979D1FB8163876; \??\C:\Windows\TEMP\226ADE3.sys [X]
S3 4F979D1FC6E26C76; \??\C:\Windows\TEMP\20A15AC.sys [X]
S3 4F979EC1A944BF76; \??\C:\Windows\TEMP\26ED3B9.sys [X]
S3 4F979EC2FFEC9D76; \??\C:\Windows\TEMP\268CB5F.sys [X]
2018-09-04 09:49 - 2018-09-04 09:49 - 000000127 _____ C:\Users\README.txt
2018-09-04 09:49 - 2018-09-04 09:49 - 000000127 _____ C:\README.txt
2018-09-04 09:48 - 2018-09-04 09:48 - 000000127 _____ C:\Users\ЭКОНОМИСТ\AppData\README.txt
2018-09-04 09:46 - 2018-09-04 09:46 - 000000127 _____ C:\Users\ЭКОНОМИСТ\AppData\Local\README.txt
2018-09-04 09:42 - 2018-09-04 09:42 - 000000127 _____ C:\Users\Оргкабинет.SRB\AppData\README.txt
2018-09-04 09:42 - 2018-09-04 09:42 - 000000127 _____ C:\Users\Оргкабинет.SRB\AppData\LocalLow\README.txt
2018-09-04 09:41 - 2018-09-04 09:41 - 000000127 _____ C:\Users\Оргкабинет.SRB\AppData\Local\README.txt
2018-09-04 09:15 - 2018-09-04 09:49 - 000000127 _____ C:\Users\ЭКОНОМИСТ\README.txt
2018-09-04 09:15 - 2018-09-04 09:49 - 000000127 _____ C:\Users\ЭКОНОМИСТ\Downloads\README.txt
2018-09-04 09:15 - 2018-09-04 09:49 - 000000127 _____ C:\Users\ЭКОНОМИСТ\Documents\README.txt
2018-09-04 09:15 - 2018-09-04 09:49 - 000000127 _____ C:\Users\ЭКОНОМИСТ\Desktop\README.txt
2018-09-04 09:13 - 2018-09-04 09:48 - 000000127 _____ C:\Users\ЭКОНОМИСТ\AppData\Roaming\README.txt
2018-09-04 09:11 - 2018-09-04 09:47 - 000000127 _____ C:\Users\ЭКОНОМИСТ\AppData\LocalLow\README.txt
2018-09-04 09:05 - 2018-09-04 09:42 - 000000127 _____ C:\Users\Оргкабинет.SRB\README.txt
2018-09-04 09:05 - 2018-09-04 09:42 - 000000127 _____ C:\Users\Оргкабинет.SRB\Downloads\README.txt
2018-09-04 09:05 - 2018-09-04 09:42 - 000000127 _____ C:\Users\Оргкабинет.SRB\Documents\README.txt
2018-09-04 09:05 - 2018-09-04 09:42 - 000000127 _____ C:\Users\Оргкабинет.SRB\Desktop\README.txt
2018-09-04 09:05 - 2018-09-04 09:05 - 000000127 _____ C:\Users\Оргкабинет.SRB\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-09-04 09:04 - 2018-09-04 09:42 - 000000127 _____ C:\Users\Оргкабинет.SRB\AppData\Roaming\README.txt
2018-09-04 08:51 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Оргкабинет\README.txt
2018-09-04 08:51 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Оргкабинет\Downloads\README.txt
2018-09-04 08:51 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Оргкабинет\Documents\README.txt
2018-09-04 08:51 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Оргкабинет\Desktop\README.txt
2018-09-04 08:51 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Оргкабинет\AppData\Roaming\README.txt
2018-09-04 08:51 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Оргкабинет\AppData\README.txt
2018-09-04 08:51 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Оргкабинет\AppData\LocalLow\README.txt
2018-09-04 08:51 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Оргкабинет\AppData\Local\README.txt
2018-09-04 08:51 - 2018-09-04 08:51 - 000000127 _____ C:\Users\Оргкабинет\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Администратор\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Администратор\Downloads\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Администратор\Documents\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Администратор\Desktop\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Администратор\AppData\Roaming\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Администратор\AppData\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Администратор\AppData\Local\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Администратор.SRB\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Администратор.SRB\Downloads\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Администратор.SRB\Documents\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Администратор.SRB\Desktop\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Администратор.SRB\AppData\Roaming\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Администратор.SRB\AppData\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Администратор.SRB\AppData\LocalLow\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Администратор.SRB\AppData\Local\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Public\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Public\Downloads\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Default\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Default\Downloads\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Default\Documents\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Default\Desktop\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Default\AppData\Roaming\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Default\AppData\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Default\AppData\Local\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Default User\Downloads\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Default User\Documents\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Default User\Desktop\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Default User\AppData\Roaming\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Default User\AppData\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Default User\AppData\Local\README.txt
2018-09-04 08:50 - 2018-09-04 08:50 - 000000127 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-09-04 08:50 - 2018-09-04 08:50 - 000000127 _____ C:\Users\Администратор.SRB\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-09-04 08:50 - 2018-09-04 08:50 - 000000127 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-09-04 08:50 - 2018-09-04 08:50 - 000000127 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-09-04 08:50 - 2018-09-04 08:50 - 000000127 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
2018-09-04 08:49 - 2018-09-04 10:52 - 000000127 _____ C:\Program Files\README.txt
2018-09-04 08:49 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Public\Documents\README.txt
2018-09-04 08:49 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Public\Desktop\README.txt
2018-09-04 08:49 - 2018-09-04 08:51 - 000001359 _____ C:\Users\Все пользователи\README.txt
2018-09-04 08:49 - 2018-09-04 08:51 - 000001359 _____ C:\ProgramData\README.txt
2018-09-04 08:47 - 2018-09-04 10:51 - 000000127 _____ C:\Program Files\Common Files\README.txt
2018-09-04 09:43 - 2015-02-25 07:57 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-25
2018-09-04 09:43 - 2015-02-24 08:17 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-24
2018-09-04 09:43 - 2015-02-20 08:14 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-20
2018-09-04 09:43 - 2015-02-19 07:44 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-19
2018-09-04 09:43 - 2015-02-18 07:55 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-18
2018-09-04 09:43 - 2015-02-17 08:04 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-17
2018-09-04 09:43 - 2015-02-16 08:04 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-16
2018-09-04 09:43 - 2015-02-13 09:26 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-13
2018-09-04 09:43 - 2015-02-12 08:04 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-12
2018-09-04 09:43 - 2015-02-11 08:04 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-11
2018-09-04 09:43 - 2015-02-10 08:07 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-10
2018-09-04 09:43 - 2015-02-09 08:04 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-9
2018-09-04 09:43 - 2015-02-07 08:01 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-7
2018-09-04 09:43 - 2015-02-06 08:16 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-6
2018-09-04 09:43 - 2015-02-05 08:21 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-5
2018-09-04 09:43 - 2015-02-04 08:10 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-4
2018-09-04 09:43 - 2015-02-03 08:19 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-3
2018-09-04 09:43 - 2015-02-02 08:05 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-2
2018-09-04 09:43 - 2015-01-30 08:02 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-30
2018-09-04 09:43 - 2015-01-29 08:15 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-29
2018-09-04 09:43 - 2015-01-28 08:08 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-28
2018-09-04 09:43 - 2015-01-27 08:30 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-27
2018-09-04 09:43 - 2015-01-26 08:19 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-26
2018-09-04 09:43 - 2014-12-23 12:02 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-23
MSCONFIG\startupreg: 2377655 => 2377655
MSCONFIG\startupreg: 3869733 => 3869733
MSCONFIG\startupreg: Bron-Spizaetus => "C:\Windows\ShellNew\bronstab.exe"
MSCONFIG\startupreg: Tok-Cirrhatus => "C:\Users\Администратор.SRB\AppData\Local\smss.exe"
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Александр94
      Шифровальщик
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • WhySpice
      Шифровальщик cyberfear
      От WhySpice
      Утром снесло домашний сервер с открытым вне RDP. Зашифровало абсолютно все, все мои рабочие проекты, python скрипты, виртуалки vmware/virtualbox

      Зашифрованный файл: https://cloud.mail.ru/public/qDiR/yEN8ogSZJ
      Addition_06-01-2025 15.06.34.txt FRST_06-01-2025 15.01.14.txt
      README.txt
    • sater123
      Вирус шифровальщик
      От sater123
      Добрый день. Зашифровались файлы размером более 8 мегабайт (их почта datastore@cyberfear.com). Помогите пожалуйста.
      Зашифрованные файлы не могу прикрепить, так как их размер более 5Мб.
      FRST.txt Addition.txt
    • BOBO
      Шифровальщик WantToCry
      От BOBO
      Попросили создать новую тему не знаю почему ту закрыли вот создаю. Меня тоже взломали 25 числа hdd весит на роутере, smb открыт был. Покапалься в файлах были несколько оригинальных файлов и вроде шифрование AES в режиме ECB. Встал вопрос можно ли найти ключ шифрования если например нашел зашифрованный блок пробелов 16 байт. 
    • FineGad
      Шифровальщик WantToCry
      От FineGad
      26.12.24 На файловом сервере (комп с Debian) в расшареных каталогах заметил текстовый файл !want_to_cry.txt 
      Просканировал все каталоги доступные по сети (SMB) зашифрованные файлы с расширением .want_to_cry по времени создания файлов видно что шифровальщик проработал примерно с 24.12.24 20:05  по 25.12.24 03:05 после чего сервер "завис". Сейчас шифровщик не активен (новые шифрованные файлы не появляются). Доступа к сети извне нет, кроме SSH с ключом шифрования. В сети кроме моего во время активности были еще 2 компьютера под управление Windows.
       
      !want_to_cry.txt
×
×
  • Создать...