шифровальщик mishacat@cock.li

[RedviKING]

Добрый день!

Поймали шифровальщик на удаленном рабочем компе. Поражена оказалась только папка с общим доступом. Прикладываю зашифрованный и оригинальный файл, логи и записку

Addition.txt FRST.txt 111.rar ВЕРНУТЬ ВАШИ ФАЙЛЫ.txt

[RedviKING]

упс, логи не с того компа, прикладываю корректные

Addition.txt FRST.txt

[Sandor]

Здравствуйте!

 

Приложенный повреждённый файл забит нулями. Помочь нечем.

[RedviKING]

Жесть... Спасибо за оперативный ответ

[RedviKING]

злоумышленники успешно расшифровали рандомный присланный им файл "забитый нулями". Как так?

[thyrex]

Значит, моё предположение для другого пользователя оказалось верным.

[RedviKING]

Я может что не так понимаю, но на нули не похоже

[thyrex]

А вот файл из архива в первом сообщении

[RedviKING]

Ааа... Вот почему злоумышленник тестовый файл просил заархивировать через zip без сжатия...

 

[thyrex]

Архивирование тут не причем. Скорее всего часть файлов повреждается при шифровании, и даже сам злоумышленник об этом не имеет понятия.

[RedviKING]

Не совсем. Потеря информации происходит при копировании файла. Скриншот выше сделан для того же файла, что и приложенный ранее в архиве. Сейчас проверил еще раз - на исходном месте файла, он не пустой (в HEX редакторе открывается как на скриншоте), если же я его копирую на другой диск, то в HEX редакторе уже одни нули.

 

а что за удаленный файл видит Hetman при распаковке приложенного в самом начале архива?

[thyrex]

Ну тогда у каждого такого пострадавшего что-ли подобные проблемы с системой? Уже год или два подобная проблема с файлами периодически проявляется после шифровальщика Ouroboros.

[RedviKING]

Вот еще пример - один и тот же файл на своем месте и скопированный в корень того же диска

[thyrex]

Странный docx-файл с внутренним содержанием незашифрованного jpg-файла

[RedviKING]

вот у меня мысль шальная проскользнула - а не может это быть не шифрование, а "сдвиг" по файловой системе диска?