phobos Зловред .id[XXXXXXXX-XXXX].[jabber paybtc@sj.ms].Caley

[pioner007]

Словил данного зловреда через RDP на сервере 2008 R2. Kaspersky Endpoint Security 10 for Windows был включен. Утром в Пнд обнаружил не работающий 1С RemoteApp RDP файл, полез смотреть что на сервере и ужаснулся - на моих глазах в папках файлы меняли расширение на .id[XXXXXXXX-XXXX].[jabber paybtc@sj.ms].Caley. Я так в жизни никогда не бегал в серверную) Вырвал 220 из него, тем спас его дальнейшее заражение. Но, все же, часть данных была испорчена.

Что было сделано:

Сразу в инет - и попал на тему из этого топика понял, что у меня такая же беда.

Вынул HDD с сервака и пройдясб по каталогам удалил пакость. (один файл с вирусом предварительно запаковал) потом

Прогнал Kaspersky Virus Removal Tool 2015

При визуальном анализе диска увидел что папка c:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 10 for Windows SP2\

Содержит каталоги и подкаталоги но без единого файла. Выкошено все.

(к сожалению работу надо было возобновлять и сносить все и быстро подымать. Заниматься сбором логов на зараженной полу рабочей (после виря) системы не было времени.)

 

К сожалению не понятны слова модеров и консультантов:

Скорее всего заработали Phobos Ransomware. Расшифровки нет.

 

Пока НЕТ или вообще ЭТО нереально. Поясните пожалуйста.

Заметил что если были "скушаны" архивы больше чем 30мб из них частично можно достать файлы. Просто переименовываем в исходное расширение zip rar 7z делаем восстановление и уже 7z распаковываем (winrar ругается и не может распаковать. 7z распаковывает) Может кому то пригодится. И, да, большие файлы тоже частично он шифрует. Заголовок потерт и конец середина читаема.

[Sandor]

Пока НЕТ или вообще ЭТО нереально

Точнее вам ответят в вирлабе.

 

Почитайте:

https://www.bleepingcomputer.com/forums/t/688649/phobos-ransomware-phobos-phoenix-actin-actor-adage-adame-support/

https://id-ransomware.blogspot.com/2017/10/phobos-ransomware.html