Перейти к содержанию

Вирус зашифровал файлы с расширением [p1gansta1p@aol.com].GanP


Рекомендуемые сообщения

Доброго времени суток!
У клиента шифровальщик заразил и зашифровал сервер W2012R2

БД 1С и рабочие файлы стали выглядеть вот так:
B3BFA73A1802.id-78F8AEAB.[p1gansta1p@aol.com].GanP

В аттаче письмо с адресами для "выкупа" и пара зашифрованных файлов для анализа..

Кто-нибудь сталкивался с такой заразой?
Сможете помочь советом или алгоритмом?

FILES ENCRYPTED.txt шифровано.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

К сожалению, для этого вымогателя нет расшифровки.

Если нужна помощь в очистке системы от его следов, выполните остальные пункты правил (логи FRST).

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Sandor сказал:

Здравствуйте!

 

К сожалению, для этого вымогателя нет расшифровки.

Если нужна помощь в очистке системы от его следов, выполните остальные пункты правил (логи FRST).


Доброго времени суток!

Что ж, печально. Будем думать, что делать дальше.

Вот, кстати, такая заставка всплывает при перезагрузке сервера (аттач):

выкуп.txt

Ссылка на сообщение
Поделиться на другие сайты
3 часа назад, TwinAlex сказал:

Вот, кстати, такая заставка всплывает при перезагрузке сервера (аттач):

Потому что показ сообщений от вымогателей прописан в запуск при старте. Потому и спрашивали у Вас о необходимости чистки компьютера от следов мусора.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Михаил-СП
      Добрый день. 
      Не нашел похожего описания, делюсь ->
       
      В одной из контор случился инцидент -поймали шифровальщика. Все файлы, кроме EXE, стали иметь вид ИМЯ-ФАЙЛА.[sekurlsa@ml1.net].lsas . Вирус представлял из себя процесс в Backup32.exe (или что-то похожее) в папке System32. Все компы были на Win7 (или ХР) с не обновляемым два или три года DrWeb-ом. Бардак в сети был полный -открытые наружу РДП порты с каждой второй машины, полные права у пользователей (многие админы домена), простые пароли (реально были "123456" на доменных админах), отсутствие политик по блокировке учеток и т.д. Попала зараза в сеть скорее всего из-за подбора пароля по РДП, потому что на самых пострадавших машинах появилась учетка, которая имела права админа домена и простой пароль.  Не исключен вариант трояна (нашли почти на всех машинах, даже не пострадавших), через которые вбросили вирус.
      Вирус распространялся по сети, шифровал не только файлы в расшаренных папках, но и на компьютерах/серверах в других папках, на которые у пользователя были права. Шифровались не только документы а почти все файлы, даже некоторые исполняемые, msi и т.д. . Несколько компов после лечения вируса и перезагрузки не загрузились. Некоторые программы перестали работать. Досталось даже ярлыкам.
       
      Свежие утилиты от Kaspersky, Eset, DrWeb вирус находили без проблем.
       
      Большинство файлов восстановили из резервной копии, которая уходила на другую площадку. Часть (на рабочих столах пользователей) пропала. 
       
      Есть вопрос к уважаемому сообществу -имеем кучу зашифрованных файлов и такую же кучу их "исходников" до шифра. Реально ли создать дешифратор? У самих мозгов не хватает, может кто поможет? Было бы полезно всем пострадавшим от этого вируса.
      Спасибо.
    • От aleksandr86
      Добрый день.
      Прошу помощи!!!!!
      Зашифровало все файлы на сервере, утилиту Farbar Recovery Scan Too скачал и запустил там. 2 файла зашифрованные, требование и результат проверки данной утилиты в прикрепленном архиве. Буду с нетерпением ждать от вас ответа!
      Вирус тоже успел сохранить, если потребуется готов выслать куда скажите
       
       
      archive.zip
       
    • От Njgjkm
      Доброго дня, несмотря на все сомнения в этом.
      Сегодня ночью некий скрипт с адреса 45.146.166.219 (вроде, Великобритания, хотя это и не важно) сумел подобрать пароль к одной учётке с админскими правами (каюсь, мой косяк, выдал обслуживающей организации аккаунт, но не проконтролировал смену простого стандартного пароля) и зашифровал все файлы, добавив к именам .id-<XXXXXXXX>.[dc1@imap.cc].DC
      Здесь на форуме (да и в целом в гугле) я не нашёл упоминаний подобной конструкции. Сталкивался ли кто-нибудь с данным зверем, и можно ли его вылечить?
       
      P.S. Да, если интересно, у меня есть exe-шник, который был запущен во время "обработки" файлов. Запускать его я, конечно же не хочу.
    • От Bolodya
      Добрый день! Компьютер простаивал несколько часов в холостую, и шифровальщик был обнаружен когда все файлы уже были зашифрованы. Проник скорей всего по RDP из-за слабого пароля администратора. Система сразу была переустановлена, а все данные остались на втором диске.
      files.7z
    • От DesignerD
      Добрый день!
      Прошу о помощи,
      Зашифрованы все файлы на четырёх разделах двух жестких дисков, даже системные, в винду загрузиться возможности нет.
      Все файлы без расширения, так же в каждой папке лежит txt записка с требованиями.
      Шифровальщик, предположительно, был пойман по рдп. 
       
      К письму прикрепляю архив с двумя файлами и запиской.
       
      Заранее, спасибо.
      files.rar
×
×
  • Создать...