Перейти к содержанию

Дешифровка файлов после [rogstrix@keemail.me].harma

АСВ
 Share

Рекомендуемые сообщения

АСВ Новичок

АСВ

Опубликовано
Опубликовано (изменено)

Здравствуйте.

 

Судя по всему(предполагаем), на нашем компьютере была проэксплуатирована уязвимость одной из учётных записей через брутфорс паролей при подключении через RDP.

В результате зашифрованы файлы.

Везде лежат текстовички с текстом:

all your data has been locked us
You want to return?
Write email rogstrix@keemail.me or bigstrix@protonmail.com

 

У рабочих файлов новые расширения: .id-02E6CDEC.[rogstrix@keemail.me].harma

 

Действующая лицензия на KES имеется.

 

Провели лечение свежим KVRT и собрали статистику с помощью AutoLogger.

Результат сканирования в приложении.

 

Экземпляр зловреда с изменённым расширением так же прилагаю

 

Помогите, чем можете пожалуйста.

 

CollectionLog-2020.05.25-12.01.zip 20200520065603.exe_

Изменено пользователем АСВ
Ссылка на комментарий
Поделиться на другие сайты
АСВ Новичок

АСВ

Опубликовано
  • Автор
Опубликовано (изменено)

Спасибо и на этом.  

Курил пол ночи импортные форумы. Так же, безрезультатно. При таких раскладах, лучше полностью переустановить, раз спасти всё равно ничего нельзя, не заплатив вымогателям денег с неизвестным заранее результатом.

 

Чем-то могу помочь, для развития дешифрующего софта? Файлик, там, идентичный в открытом и зашифрованном виде предоставить?

 

2ALL:

С появлением поисковых систем, подобных Shodan, мир именился. Ваш RDP сервис и прочие, беззаботно опубликованные на нестандартных портах будут в автоматическом режиме найдены и подвергнуты атакам. Подконтрольные мне системы подвергаются атакам с разных ip с частотой один раз в 2 секунды с различных ip. Налицо работа ботнетов для брутфорса по известным/популярным логинам и паролям. Всем настоятельно рекомендую озаботиться сложными логинами и паролями на доступ извне по  RDP, регулярной сменой внешних портов работы опубликованных служб. Обязательным использованием VPN для доступа к внутренней инфраструктуре. 

 

 

 

Приложу, на всякий случай, оригинальный файл и закодированный. Если ключ для кодировки не меняется регулярно, может будут полезны для его получения кому-нибудь.

 

Ещё раз спасибо за информацию и удачи в вашем нелёгком деле. 

7z1512-x64.exe 7z1512-x64.exe.id-02E6CDEC.[rogstrix@keemail.me].harma

Изменено пользователем АСВ
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Татьяна Суркова
      WNCRY зашифровал все ФОТО
      От Татьяна Суркова
      12.05.2017 КАК И МНОГИХ У МЕНЯ ВОЗНИКЛА ПРОБЛЕМА , wncry зашифровал все файлы, особенно важными оказались фото на моем ноуте. Саму прогу удалось удалить остановив шифровать файлы далее но вот расшифровать и вернуть фото и файлы не знаю как. Нужна очень срочно помощь. Кто знает решение буду очень рада
      CollectionLog-2017.05.14-00.17.zip
×
×
  • Создать...