Перейти к содержанию

Поймали непонятного шифровальщика. Есть шансы на расшифровку?

crin
 Share

Рекомендуемые сообщения

crin Новичок

crin

Опубликовано
Опубликовано

Добрый день,

Шифровальщик, судя по дате, отработал в нерабочее время, т.е. вроде никто ничего не запускал. Источник пока не нашли.


Шифровальщик также смог достучаться до сетевой папки, НЕ подключенной в качестве диска. По дате изменений обнаружили, что шифровать начало именно с неё, в ней же, в самой первой папке появился файл 37 мегабайт, закамуфлированный под xlsx файл, а также на один килобайт изменился размер одного jpg изображения.

Бэкапы сработали хорошо, поэтому наши потери от шифровальщика минимальные: придется переустановить винду на зараженном компе. При этом есть 100 гигабайт шифрованной информации и её незашифрованной копии. На файл 37 Мб подозрение, что это что-то типа базы данных ключей шифрования для файлов, а в файлик изображения, вероятно, еще один ключ впихнули.  Если нужно для анализа - можем предоставить.

Резервирование товара - инструкция.docxscratch99@protonmail.com_sel11739585976-1577632703.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Один из последних вариантов Cryakl. Расшифровки нет. Основной путь попадания на компьютер - удаленный вход по RDP в нерабочее время после брута пароля.

Ссылка на комментарий
Поделиться на другие сайты
crin Новичок

crin

Опубликовано
  • Автор
Опубликовано

Один из последних вариантов Cryakl. Расшифровки нет. Основной путь попадания на компьютер - удаленный вход по RDP в нерабочее время после брута пароля.

Понял, спасибо, будем мучить микротик и по возможности создавать VPN

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • IrinaC
      Поймали шифровальщика
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • BORIS59
      [РАСШИФРОВАНО] Поймал шифровальщика вымогателя.
      От BORIS59
      Доброго времечка поймал шифровальщик, система не переустанавливалась.
      Зашифровали файлы (WANNACASH NCOV v170720), требуют выкуп!
      Попался на поиске ключей ESET, в 2020г. Обращался в ESET про пудрили
      мозг и смылись. Приложил скрин kvrt сделан сразу после шифровки.
      Подскажите, пожалуйста, возможно восстановить?

      Farbar Recovery Scan Tool.zip Файлы с требованиями злоумышленников.zip Зашифрованные файлы.zip
    • yarosvent
      поймали шифровальщика
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
    • LeraB
      Поймали шифровальщика на несколько серверов
      От LeraB
      Приветствую.
      Поймали шифровальщика, который работает до сих.
      Ничего не переустанавливали и не трогали, проверяем только доступность компьютеров, их работу и ищем, где он еще может работать. Если понятно, что шифровальщик еще где-то работает, то отключаем этот сервер/компьютер.
      Все, что можно спасти, копируем.
      Пострадала почти вся сеть, не только лок.пк и сервера, но и NAS (именно smb)
      Шифровальщик затронул большинство нужных файлов, но не все.
      Логи собрали с одного сервера, примеры файлов с него же.
      Файл шифровальщика пока найти не удалось, как и выяснить все остальное, кроме того, как оно работает с ночи примерно с 00:00 12.12.2024
      FRST.txt Addition.txt архив.zip
    • Алексей Андронов
      Поймали по почте шифровальщик-вымогатель
      От Алексей Андронов
      Добрый день!
       
      Поймали шифровальщика, который работает до сих пор на отключенном от интернета ПК.
      Ничего не переустанавливали и не трогали.
      Все, что можно спасти, копируем.
      Пострадал один ПК и один резервный сменный накопитель.
      Шифровальщик затронул большинство файлов.
      Предположительно получен по почте 02.12.24 под видом акта сверки расчетов
       
      Прошу помощи в излечении и расшифровке
       
      Во вложении логи FRST, архив с документами и запиской вымогателей и, предположительно, дроппер с которого произошло заражение и резидентный модуль
      архив.zip virus.zip Addition.txt FRST.txt
×
×
  • Создать...