Перейти к содержанию

Дешифровка файлов после [rogstrix@keemail.me].harma

АСВ
 Поделиться

Рекомендуемые сообщения

АСВ

АСВ

Опубликовано
Опубликовано (изменено)

Здравствуйте.

 

Судя по всему(предполагаем), на нашем компьютере была проэксплуатирована уязвимость одной из учётных записей через брутфорс паролей при подключении через RDP.

В результате зашифрованы файлы.

Везде лежат текстовички с текстом:

all your data has been locked us
You want to return?
Write email rogstrix@keemail.me or bigstrix@protonmail.com

 

У рабочих файлов новые расширения: .id-02E6CDEC.[rogstrix@keemail.me].harma

 

Действующая лицензия на KES имеется.

 

Провели лечение свежим KVRT и собрали статистику с помощью AutoLogger.

Результат сканирования в приложении.

 

Экземпляр зловреда с изменённым расширением так же прилагаю

 

Помогите, чем можете пожалуйста.

 

CollectionLog-2020.05.25-12.01.zip 20200520065603.exe_

Изменено пользователем АСВ
thyrex

thyrex

Опубликовано
Опубликовано

Расшифровки нет. Можем только помочь очистить систему от остатков мусора.

  • Like (+1) 1
АСВ

АСВ

Опубликовано
  • Автор
Опубликовано (изменено)

Спасибо и на этом.  

Курил пол ночи импортные форумы. Так же, безрезультатно. При таких раскладах, лучше полностью переустановить, раз спасти всё равно ничего нельзя, не заплатив вымогателям денег с неизвестным заранее результатом.

 

Чем-то могу помочь, для развития дешифрующего софта? Файлик, там, идентичный в открытом и зашифрованном виде предоставить?

 

2ALL:

С появлением поисковых систем, подобных Shodan, мир именился. Ваш RDP сервис и прочие, беззаботно опубликованные на нестандартных портах будут в автоматическом режиме найдены и подвергнуты атакам. Подконтрольные мне системы подвергаются атакам с разных ip с частотой один раз в 2 секунды с различных ip. Налицо работа ботнетов для брутфорса по известным/популярным логинам и паролям. Всем настоятельно рекомендую озаботиться сложными логинами и паролями на доступ извне по  RDP, регулярной сменой внешних портов работы опубликованных служб. Обязательным использованием VPN для доступа к внутренней инфраструктуре. 

 

 

 

Приложу, на всякий случай, оригинальный файл и закодированный. Если ключ для кодировки не меняется регулярно, может будут полезны для его получения кому-нибудь.

 

Ещё раз спасибо за информацию и удачи в вашем нелёгком деле. 

7z1512-x64.exe 7z1512-x64.exe.id-02E6CDEC.[rogstrix@keemail.me].harma

Изменено пользователем АСВ
thyrex

thyrex

Опубликовано
Опубликовано

Ключ шифрования уникальный для каждого пострадавшего.

  • Like (+1) 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Виктор7
      Дешифровка файлов
      Автор Виктор7
      Добрый день ! Вечером ушел с рабочего места (компьютер был включен), на след. день обнаружил, что у всех файлов изменилось расширение, самостоятельно решить проблему не смог, прикрепить файлы как указано в инструкции не получается
    • Александр 2024
      Дешифровкой файлов *.crp и *. cript
      Автор Александр 2024
      Добрый день!
      Windows 10 x64
      Прошу помочь с дешифровкой файлов *.crp и *. cript. Систему уже проверяли антивирусными сканерами. Вирусов нет
      777777.zip
    • Arocs
      Шифровальщик adk0@keemail.me
      Автор Arocs
      Прошу помощи в расшифровке файлов. Картинки, базы данных, текстовые. 
      FILES_ENCRYPTED.txt шифрованые.zip
    • TVagapov
      Помощь в дешифровке DarkStar
      Автор TVagapov
      14 августа вечером на компанию совершена атака шифровальщиком. Заражён контроллер домена, антивирус с обновлёнными базами не среагировал. Часть компьютерв в сети оказались заражены. На заражённых машинах антивирус присутствовал, но при нажатии на иконку в спулере, пункты меню отвечающие за проверку были серыми (недоступными).  На двух машинах при авторизации сработал антивирус, определил HEUR:Trojan-Ransom.Win32.Convagent.gen Объект: \\***.RU\\net;logon\ds.exe
       
      Прикладываю логи сканера, требования, образцы зашифрованых и оригинальных файлов.
       
      Требуется помощь в дешифровке файлов и определении стратегии восстановления и защиты от данного вируса.
      Logs_Files.7z
    • Parad0xXx
      ELPACO-team нужна помощь в лечении пк и дешифровке файлов
      Автор Parad0xXx
      07.07 с утра обнаружили шифровальщика на сервере 1с. RDP было открыто(стояла ip ban и бесплатный антивирус кашперского). Так же были зашифрованы архивы баз 1с. Вот их то бы и нужно расшифровать. Остальное ценности не имеет.
       
      Почитал на форуме темы, я так понимаю вирус новый, буду рад любой помощи.
      Addition.txt Decryption_INFO.rar FRST.txt Актуальные базы 1С.txt.rar Новый текстовый документ.txt.rar
×
×
  • Создать...