Перейти к содержанию

Рекомендуемые сообщения

@Сергей47 сообщений от вымогателей для связи нет? Файлы с компьютера, ставшего источником шифрования или есть и другие пострадавшие компьютеры?

 

По формату имени файла похоже на CrySis, для которого расшифровки нет.

Ссылка на сообщение
Поделиться на другие сайты

Сообщений от вымогателей не было.  Это файлы с расшаренной  папке на сервере, на который, видимо, и занесли или запустили файл пользователи, которые подключаются все через RDP. Других пострадавших компов нет.

Ссылка на сообщение
Поделиться на другие сайты
56 минут назад, thyrex сказал:

По формату имени файла похоже на CrySis, для которого расшифровки нет.

большего наверняка сказать не представляется возможным

Ссылка на сообщение
Поделиться на другие сайты

Ничем не поможет. Это может быть ключ шифрования, но не расшифровки. Если этот файл вообще имеет отношение к шифровальщику.

Ссылка на сообщение
Поделиться на другие сайты
Decrypt price $1500.
 
Вот переписка с ним. Столько хочет.
Sent: Tuesday, August 17, 2021 at 2:46 PM
From: "СЕРГЕЙ АНТИПИН" <cerpo@mail.ru>
To: "Decrypt Sirvice" <c0v1d19@job4u.com>
Subject: Re[2]: Расшифровка
  1. 1
  2. 2
  3. id-46E42128
  4.  
 
Вторник, 17 августа 2021, 14:45 +03:00 от Decrypt Sirvice <c0v1d19@job4u.com>:
 
 
Hey! I will try to answer all your questions and help decrypt your files. First, let's answer:
1. How many computers with local drives are encrypted?
2. How many external hard drives or NAS are encrypted?
3. Write your ID (Send some encrypted filesI caught it. What are my actions?
 
Sent: Tuesday, August 17, 2021 at 2:42 PM
From: "СЕРГЕЙ АНТИПИН" <cerpo@mail.ru>
To: c0v1d19@job4u.com
Subject: Расшифровка
 
 
Расшифровка???
 
 
 
С уважением,
СЕРГЕЙ АНТИПИН
cerpo@mail.ru

Сообщений от вымогателей не было.  Это файлы с расшаренной  папке на сервере, на который, видимо, и занесли или запустили файл пользователи, которые подключаются все через RDP. Других пострадавших компов нет.

Ссылка на сообщение
Поделиться на другие сайты

Что делать - решать только Вам. Но если это действительно CrySis, то очень часто после оплаты рапространители этого шифратора ничего не присылают. Имейте это в виду.

Ссылка на сообщение
Поделиться на другие сайты
Антон Павлович

Словил 17го числа этот шифровальщик. Списался со злодеями.

Как и в письме выше спросили стандартный текст: сколько пк, сколько хранилищ.

Тестово расшифровали выборочные файлы. 

ОПЛАТИЛ

Прислали программу для поиска ключа, который необходимо отправить им обратно.

Отправил.

И ТИШИНА... 6 дней уже никто не отвечает.

Я не понимаю какого фига если я всё оплатил, они доказали что могут расшифровать, но почему то гасятся и код расшифровки прислать не могут.

С 21го августа кому ни будь отвечали с этой почты c0v1d19@job4u.com ?

Ссылка на сообщение
Поделиться на другие сайты
  • thyrex закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • SableStr
      От SableStr
      Здравствуйте! Сегодня шифровальщик зашифровал Базу данных 1С, База не большая в архиве 1,38ГБ. Логи я сделал, и за архивировал несколько файлов из базы с текстовым сообщением о требованиях. Планировали работу сервера через удаленный рабочий стол. Был открыт внешний порт (вместо 3389 изменил 22448) Касперский планировал поставить но заболел. Пока базу тестировали 5-6 дней нас взломали. Помогите пожалуйста! Все логи и все что нужно я сделал только нет кнопки загрузить файлы. Усть только "Указать URL изображения"
      Спасибо!
      Сергей
    • KeksPNZ
      От KeksPNZ
      Вчера немного похозяйничал троян. Зашифровал файлы. Зашифрованные образцы прикрепил.
      Прикрепил логи от Farbar Recovery Scan Tool. Прошу посмотреть, есть ли последствия для системы.
      Сами трояны лежат в карантине другого антивируса(не будем пиарить конкурентов). Если расскажите как безопасно их достать, скину.
      зашифрованные файлы.rar Логи.rar
    • Михаил-СП
      От Михаил-СП
      Добрый день. 
      Не нашел похожего описания, делюсь ->
       
      В одной из контор случился инцидент -поймали шифровальщика. Все файлы, кроме EXE, стали иметь вид ИМЯ-ФАЙЛА.[sekurlsa@ml1.net].lsas . Вирус представлял из себя процесс в Backup32.exe (или что-то похожее) в папке System32. Все компы были на Win7 (или ХР) с не обновляемым два или три года DrWeb-ом. Бардак в сети был полный -открытые наружу РДП порты с каждой второй машины, полные права у пользователей (многие админы домена), простые пароли (реально были "123456" на доменных админах), отсутствие политик по блокировке учеток и т.д. Попала зараза в сеть скорее всего из-за подбора пароля по РДП, потому что на самых пострадавших машинах появилась учетка, которая имела права админа домена и простой пароль.  Не исключен вариант трояна (нашли почти на всех машинах, даже не пострадавших), через которые вбросили вирус.
      Вирус распространялся по сети, шифровал не только файлы в расшаренных папках, но и на компьютерах/серверах в других папках, на которые у пользователя были права. Шифровались не только документы а почти все файлы, даже некоторые исполняемые, msi и т.д. . Несколько компов после лечения вируса и перезагрузки не загрузились. Некоторые программы перестали работать. Досталось даже ярлыкам.
       
      Свежие утилиты от Kaspersky, Eset, DrWeb вирус находили без проблем.
       
      Большинство файлов восстановили из резервной копии, которая уходила на другую площадку. Часть (на рабочих столах пользователей) пропала. 
       
      Есть вопрос к уважаемому сообществу -имеем кучу зашифрованных файлов и такую же кучу их "исходников" до шифра. Реально ли создать дешифратор? У самих мозгов не хватает, может кто поможет? Было бы полезно всем пострадавшим от этого вируса.
      Спасибо.
    • Njgjkm
      От Njgjkm
      Доброго дня, несмотря на все сомнения в этом.
      Сегодня ночью некий скрипт с адреса 45.146.166.219 (вроде, Великобритания, хотя это и не важно) сумел подобрать пароль к одной учётке с админскими правами (каюсь, мой косяк, выдал обслуживающей организации аккаунт, но не проконтролировал смену простого стандартного пароля) и зашифровал все файлы, добавив к именам .id-<XXXXXXXX>.[dc1@imap.cc].DC
      Здесь на форуме (да и в целом в гугле) я не нашёл упоминаний подобной конструкции. Сталкивался ли кто-нибудь с данным зверем, и можно ли его вылечить?
       
      P.S. Да, если интересно, у меня есть exe-шник, который был запущен во время "обработки" файлов. Запускать его я, конечно же не хочу.
    • Bolodya
      От Bolodya
      Добрый день! Компьютер простаивал несколько часов в холостую, и шифровальщик был обнаружен когда все файлы уже были зашифрованы. Проник скорей всего по RDP из-за слабого пароля администратора. Система сразу была переустановлена, а все данные остались на втором диске.
      files.7z
×
×
  • Создать...