Перейти к содержанию

Дешифровка файлов после [rogstrix@keemail.me].harma

АСВ
 Поделиться

Рекомендуемые сообщения

АСВ

АСВ

Опубликовано
Опубликовано (изменено)

Здравствуйте.

 

Судя по всему(предполагаем), на нашем компьютере была проэксплуатирована уязвимость одной из учётных записей через брутфорс паролей при подключении через RDP.

В результате зашифрованы файлы.

Везде лежат текстовички с текстом:

all your data has been locked us
You want to return?
Write email rogstrix@keemail.me or bigstrix@protonmail.com

 

У рабочих файлов новые расширения: .id-02E6CDEC.[rogstrix@keemail.me].harma

 

Действующая лицензия на KES имеется.

 

Провели лечение свежим KVRT и собрали статистику с помощью AutoLogger.

Результат сканирования в приложении.

 

Экземпляр зловреда с изменённым расширением так же прилагаю

 

Помогите, чем можете пожалуйста.

 

CollectionLog-2020.05.25-12.01.zip 20200520065603.exe_

Изменено пользователем АСВ
thyrex

thyrex

Опубликовано
Опубликовано

Расшифровки нет. Можем только помочь очистить систему от остатков мусора.

  • Like (+1) 1
АСВ

АСВ

Опубликовано
  • Автор
Опубликовано (изменено)

Спасибо и на этом.  

Курил пол ночи импортные форумы. Так же, безрезультатно. При таких раскладах, лучше полностью переустановить, раз спасти всё равно ничего нельзя, не заплатив вымогателям денег с неизвестным заранее результатом.

 

Чем-то могу помочь, для развития дешифрующего софта? Файлик, там, идентичный в открытом и зашифрованном виде предоставить?

 

2ALL:

С появлением поисковых систем, подобных Shodan, мир именился. Ваш RDP сервис и прочие, беззаботно опубликованные на нестандартных портах будут в автоматическом режиме найдены и подвергнуты атакам. Подконтрольные мне системы подвергаются атакам с разных ip с частотой один раз в 2 секунды с различных ip. Налицо работа ботнетов для брутфорса по известным/популярным логинам и паролям. Всем настоятельно рекомендую озаботиться сложными логинами и паролями на доступ извне по  RDP, регулярной сменой внешних портов работы опубликованных служб. Обязательным использованием VPN для доступа к внутренней инфраструктуре. 

 

 

 

Приложу, на всякий случай, оригинальный файл и закодированный. Если ключ для кодировки не меняется регулярно, может будут полезны для его получения кому-нибудь.

 

Ещё раз спасибо за информацию и удачи в вашем нелёгком деле. 

7z1512-x64.exe 7z1512-x64.exe.id-02E6CDEC.[rogstrix@keemail.me].harma

Изменено пользователем АСВ
thyrex

thyrex

Опубликовано
Опубликовано

Ключ шифрования уникальный для каждого пострадавшего.

  • Like (+1) 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • merlin_hal
      id-70FAE858.[3048664056@qq.com] WALLET
      Автор merlin_hal
      Практически все файлы были зашифрованы и теперь имеют вид: *.docx.id-70FAE858.[3048664056@qq.com] Затронут как пакет MSOffice, так и *.jpg, *.pdf и т.п. Так же на локальном диске был создан файл с содержанием: 
      Your documents, photos, databases, save games and other important data has been encrypted. Data recovery requires decoder. To obtain decoder, please contact me by email: 3048664056@qq.com or patrik.swize@gmx.de or through the service https://bitmsg.me, and send me a message to the address: BM-2cWpwwPT9bqLv7D1VMSFUNJZgQ1mKBRgxK Компьютер в домене и был затронут частично сетевой диск CollectionLog-2017.04.12-14.06.zip
    • Эдуард Пятницкий
      Шифровальшик volantem_diem@aol.com
      Автор Эдуард Пятницкий
      Добрый день!

      Вирус зашифровал множество файлов Program Files Антивирус kaspersky endpoint security 10 его пропустил.

      Помогите пожалуйста расшифровать. Прикрепляю сам вирус и пару зараженных файлов

       


      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте вредоносные и потенциально вредоносные ссылки и файлы на форуме.
    • SergeyKomarov
      вирус Wallet (Satan-stn)
      Автор SergeyKomarov
      Утром пришли на работу, увидели, что один из серверов зашифрован вирусом wallet
      Все файлы имеют расширение: r.id-A7C85580.[satan-Stn@bitmessage.ch].wallet
      Удалённый доступ был блокирован desktop lock express
      От него избавились, а вот от wallet - нет.
      Зашифрованы все файлы на сервере, где хранится 1С, в том числе и в ProgramFiles.
      Кроме того, зашифрован внешний жёсткий диск с бэкапом и второй копьютер с 1С
      CollectionLog-2017.04.13-12.23.zip
    • Асылбек
      зашифрованые файлы (.WALLET)
      Автор Асылбек
      Здравствуйте! я поймал вирус шифровальщик (.WALLET) т.е ко всем файлам на компьютере добавилось расширение  .WALLET, а исходные файлы имеют размер 0кб. 
       
      Есть ли решение по дешифровке файлов?
       
      во вложении файл оригинал и зашифрованный.
         
      зашифрованый файл.rar
    • Print1972g
      Зашифровано шифровальщиком
      Автор Print1972g
      поймали шифровальщик, после зашифровки появился файл на диске D с ключем и ссылкой на сай для покупки дешифратора
      CollectionLog-2017.04.10-10.52.zip
×
×
  • Создать...