Перейти к содержанию

Рекомендуемые сообщения

Доброго времени.

Месяц назад накрячили все файлы на сервере, в первую очередь 1с.

Не можем сдать отчёты в налоговую.

Есть у кого наработки по восстановлению?

IMG_20210721_120713[1].jpg

Ссылка на сообщение
Поделиться на другие сайты

Анализ системы  при помощи Farbar Recovery Scan Tool сделать не можем так система то-же уничтожена. 

Но есть файлы зашифованные и есть такие-же ранее заархивированные файлы рабочие.

Анализ системы  при помощи Farbar Recovery Scan Tool сделать не можем так система то-же уничтожена. 

Но есть файлы зашифованные и есть такие-же ранее заархивированные файлы рабочие.

Вот  файл рабочий и  такой-же зашифрованный.Рабочий файл.rar

Зашифрованный файл.rar

Ссылка на сообщение
Поделиться на другие сайты

Сообщения не видели так как нам сказали сразу выдернуть сервер из сети.  В некоторых папках в певой строке есть ссылка, но мы не рискнули с другого компа набрать эту ссылку....

Ссылка на сообщение
Поделиться на другие сайты
13 часов назад, sprint33 сказал:

В некоторых папках в певой строке есть ссылка

Не совсем понятно, что Вы имеете в виду, когда пишете о ссылке. Хотя бы скриншот сделайте.

Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, thyrex сказал:

Не совсем понятно, что Вы имеете в виду, когда пишете о ссылке. Хотя бы скриншот сделайте.

Винты отдали IT-шникам на колдовство, на руках нету.

У вас есть наработки по такой теме?

Ссылка на сообщение
Поделиться на другие сайты

Для этого шифратора нет расшифровки без помощи самих злодеев. Но учитывая количество обманутых пострадавших (для разных шифраторов), которые после оплаты не получали дешифраторы, обращаться к ним мы не рекомендуем.

Ссылка на сообщение
Поделиться на другие сайты
  • 3 weeks later...
21.07.2021 в 23:22, thyrex сказал:

А сообщения от вымогателей для связи где?

 

Мы выключили сервер до окончания шифрования. Сообщения нигде не нашли.

А вот что пишут об этом шифровальщике на других сайтах:

 

Спойлер

 

четверг, 28 ноября 2019 г.

BigBossHorse

 

BigBossHorse Ransomware

Variants: Heronpiston, Horsedeal, HorseLeader, XHamster, InHorseWeTrust

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель из семейства GarrantyDecrypt шифрует данные пользователей, а затем требует связаться с вымогателями, чтобы узнать, как заплатить выкуп и файлы. Оригинальное название: в записке не указано. 
---
Обнаружения (нет ранних образцов):
DrWeb -> Trojan.Encoder.30568
BitDefender -> Gen:Heur.Ransom.Imps.1, Trojan.GenericKD.42254464
ALYac -> Trojan.Ransom.BigBosshorse
Avira (no cloud) -> TR/AD.RansomHeur.uvzup
ESET-NOD32 -> A Variant Of Win32/Filecoder.Outsider.C
McAfee -> Ransom/Horsedeal
TrendMicro -> TROJ_FRS.0NA103AH20
Symantec -> Downloader, ML.Attribute.HighConfidence
---

© Генеалогия: GarrantyDecrypt BigBossHorse (Heronpiston, Horsedeal)
logo.png
Изображение — логотип статьи

К зашифрованным файлам добавляются расширения: 
.bigbosshorse
.heronpiston
.horsedeal



gen_info.pngВнимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого варианта крипто-вымогателя из семейства GarrantyDecrypt была замечена в ноябре-декабре 2019 и в январе 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: #Decryption#.txt
note-10-12-19.png

Содержание записки о выкупе:
All your files have been ENCRYPTED!!!
Write to our email - bigbosshorse@ctemplar.com
Or contact us via jabber - bigbosshorse@xmpp.jp
Jabber client installation instructions:
Download the jabber (Pidgin) client from https://pidgin.im/download/windows/
After installation, the Pidgin client will prompt you to create a new account.
Click - Add
In the -Protocol field, select XMPP
In -Username - come up with any name
In the field -domain - enter any jabber-server, there are a lot of them, for example - exploit.im
Create a password
At the bottom, put a tick -Create account
Click add
If you selected -domain - exploit.im, then a new window should appear in which you will need to re-enter your data:
User
password
You will need to follow the link to the captcha (there you will see the characters that you need to enter in the field below)
If you don't understand our Pidgin client installation instructions, you can find many installation tutorials on youtube - https://www.youtube.com/results?search_query=pidgin+jabber+install
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
tell your unique ID
lJWSLNJGJZbvKjZnL/hl5VwkLusRj1kS8a5Wgv6*** [всего 684 знака]

Перевод записки на русский язык:
Все ваши файлы зашифрованы !!!
Пишите на наш email - bigbosshorse@ctemplar.com
Или свяжитесь с нами через jabber - bigbosshorse@xmpp.jp
Инструкция по установке клиента Jabber:
Загрузите Jabber (Pidgin) клиент с https://pidgin.im/download/windows/
После установки клиент Pidgin предложит вам создать новую учетную запись.
Нажмите - Добавить
В поле -Protocol выберите XMPP
В -Username - придумать любое имя
В поле -domain - введите любой jabber-сервер, их много, например - exploit.im
Создать пароль
Внизу поставьте галочку - Создать аккаунт
Нажмите добавить
Если вы выбрали -domain - exploit.im, то должно появиться новое окно, в котором вам нужно будет повторно ввести ваши данные:
Пользователь
пароль
Вам нужно будет перейти по ссылке на капчу (там вы увидите символы, которые нужно ввести в поле ниже)
Если вы не понимаете наши инструкции по установке клиента Pidgin, вы можете найти множество руководств по установке на YouTube - https://www.youtube.com/results?search_query=pidgin+jabber+install
Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к необратимой потере данных.
Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они добавляют свою плату к нашей), или вы можете стать жертвой мошенничества.
сообщите свой уникальный идентификатор
lJWSLNJGJZbvKjZnL / hl5VwkLusRj1kS8a5Wgv6 *** [всего 684 знака]



 
Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

gen_info.pngНужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
#Decryption#.txt - название записки о выкупе
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: bigbosshorse@ctemplar.com
Jabber: bigbosshorse@xmpp.jp
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
 Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>

 

 
Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, thyrex сказал:

У Вас другой шифратор. Некоторые распространители замечены в связях с разными шифраторами.

 

Контакты для связи одинаковые,  что у нас и что в этом описани:

 

Записка: #Decrypt#.txt
ICQ: @Konwarszawski
ICQ: @SAFEPLACE
Jabber: bigboss@thesecure.biz
 
note-10-7-21.png
 
Файл: encryptor.exe
Результаты анализов: VT + AR
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.34138
BitDefender -> Gen:Variant.Razy.773049
ESET-NOD32 -> A Variant Of Win32/Filecoder.Outsider.I
Malwarebytes -> Ransom.Outsider
Tencent -> Win32.Trojan.Filecoder.Wogh
TrendMicro -> Ransom_GarrantDecrypt.R002C0DGA21
 
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Olev
      Добрый день!
      Поймал шифровальщик. Прошу помочь.
      Зашифрованная система после перезагрузки не грузится, Farbar Recovery Scan Tool запустить на ней не могу.
      Предположительные исполняемые файлы шифровальщика и образцы зашифрованных файлов, а также информация от вымагателей в файле по ссылке.
       
      Сообщение от модератора Mark D. Pearlstone Не публикуйте на форуме вредоносные и потенциально вредоносные файлы, а также ссылки на них 
    • От SirAlex
      Добрый день.
      Нужна помощь в дешифровке компьютерных файлов после действия вируса-шифровальщика. 
      Явного источника шифрования не обнаружено. Предшествовала установка  специфических плагинов для интернет клиент банка с правами администратора. Перед установкой файлы проверялись антивирусом Avast и на VirusTotal.com. Под этим администратором не исполнялось ничего вредоносного. Сам пользователь утверждает , что больше ничего не открывал и подозрительной почты не принимал.
      Стационарная антивирусная система Avast была обнаружена отключенной. После запуска экранов и проверки системы обнаружила и уничтожила 2 подозрительных процесса. Дальше была произведена полная проверка системы утилитой DrWeb CureIt. Сам вирус исполнялся процессом ph_exec.exe и разместил несколько копий себя в разных пользовательских каталогах системы. Данный файл сохранён в карантине.
      Зашифрованы пользовательские файлы на доменном ПК и на всех доступных данному ограниченному (не администратору) пользователю для изменения сетевых ресурсах, для каждого из которых зловред создал отдельный сетевой диск.
      Некоторых файлов сохранились резервные копии на сторонних ресурсах.
    • От demstk
      Добрый день. Подскажите, возможна ли расшифровка файлов?
       
      все файлы имеют вид  -
       
      xxx.yyy.id[много цифр].[batecaddric@aol.com].phoenix
       
       
      !!! All of your files are encrypted !!!
      To decrypt them send e-mail to this address: batecaddric@aol.com.
      If we don't answer in 24h., send e-mail to this address: uttensherman@aol.com
      If there is no response from our mail, you can install the Jabber client and write to us in support of phobos_helper@xmpp.jp
×
×
  • Создать...