Перейти к содержанию

Словил шифровальщик dragonbutterfly@mailfence.com (есть файл шифровальщика + приложения взлома)


Рекомендуемые сообщения

Всем привет!

Век живи - век учись.

Забыл отключить тестовую УЗ, взломали через RDP.

Шифровальщик - Crylock 2.0 похоже, почта указана dragonbutterfly@mailfence.com

Сервер сейчас откатываю до резервных копий, вроде бы все файлы есть в копии.

Удалось запустить на виртуальной среде через Hiren's - Farbar Recovery Scan Tool версии 27-01-2021, собирает только лог FRST.txt Его прикрепляю в архиве frst.7z

Грязные файлы и файл с требованиями - во вложении (грязные 7z). Могу выслать такие же чистые файлы

Пароли к архивам - 2021

Есть также файл шифровальщика - svcmmr.exe + все приложения, которые скопировал на компьютер злоумышленник.

 

Посмотрите, может получится узнать что-нибудь ?

FRST.7z nonclean.7z

Ссылка на комментарий
Поделиться на другие сайты

Версия 2.0.0.0. С расшифровкой помочь не сможем.


Если чистка мусора в системе нужна, то для начала

Цитата

 

C:\Users\test\Pictures\Desktop_Locker.exe

C:\Users\test\appdata\local\temp\4\svcmmr.exe

 

удалите вручную, а потом сделайте логи Farbar в обычном режиме.

Ссылка на комментарий
Поделиться на другие сайты

Не, чистка не нужна. Из бекапа восстановлю.

Правильно понимаю, что svcmmr.exe особо не поможет равно как и все остальные файлы ? Или может их все же вам прислать на изучение ?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • roader2000
      Автор roader2000
      Здравствуйте! Словили вирус, требующий денег! Просим о помощи.
      14.02.24.rar
      Сообщение от модератора thyrex Перенесено из Интервью с экспертами
    • Kdademon
      Автор Kdademon
      02.072025 обнаружили что на 2 компа (Windows 7) попал вирус шифровальщик 
      подключились предположительно по RDP
      зашифровали все базы 1с, бэкапы, архивы, документы
      файл с обращением от вымогателей нашли
      Kaspersky Virus Removal Tool нашел вируc HEUR:Trojan-Ransom.Win32.Mimic.gen

      Подскажите порядок действий по лечению этих компов и возможна ли дешифровка?
      Как можно обезопасится от подобного?
      Поможет ли установка Kaspersky на все компьютеры сети?

      Во вложении архив с примерами зашифрованных файлов из папки php
      Файлы постарался выбрать стандартные, общеизвестные может поможет в дешифровке
      Также приложил скрин с проверкой от Kaspersky Virus Removal Tool

      php.rar
    • Fantamax
      Автор Fantamax
      Добрый день. Сегодня в 6 утра вирус поменял расширение у многих файлов и зашифровал. 
      Похожая тема была, но у меня есть бекапы некоторых файлов, можно ли расшифровать (файл бекапа тоже прикрепил в архив):
       
      Addition.txt FRST.txt files.rar
    • Sergey Bondarev
      Автор Sergey Bondarev
      Здравствуйте! Нас взломали, пока не пойму как, разбираюсь. После себя хакеры подчистили все файлы и логи. Отправляю Вам: на пробу несколько зашифрованных файлов, результаты работы программы Farbar Recovery Scan Tool И письмо от хакеров. Спасибо _files.rar
    • primely
      Автор primely
      Добрый день. У меня сегодня взломали сервер  с 1С.  Все файлы зашифровались в .PE32S. Огромная просьба помочь с решением данной проблемы. Прикрепляю скрины с зашифрованными файлами. Во вложении несколько зашифрованных файлов и записка о выкупе в архиве без пароля, а также логи FRST.

      PE32S.rar
×
×
  • Создать...