voidcrypt Шифровальщик %originalFileName%.(%someID%).(Folperdock@gmail.com).Godox

[Александр Г.]

Добрый день!

досадная история ошибки:

Создал на домашнем ПК пару виртуальных машин VirtualBox, поднял контроллер домена, работал под доменными учетками со сложными паролями. Вторую машину опубликовал в интернет по RDP с измененным TCP портом, но забыл про учетку локального администратора на ней с простым паролем. Чем и воспользовался злоумышленник :( , есть следы присутствия в системе в виде профилей пользователей, которых я не создавал. Один из дисков хоста был замаплен на виртуалку с правами по записи. Результат обнаружился спустя некоторое время в виде нестартующей виртуалки и зашифрованной части файлов на замапленном диске. Просканировал хост, обнаружились зараженные файлы в архиве дистрибутивов, угрозы устранены. Сделал на виртуалке снэпшот, просканировал KRD, обнаружился Win32.Neshta.A. Остальное во вложениях. Поиск рецепта для расшифровки не дал результатов, применение наугад некоторых дешифрующих утилит с парами оригинальных и зашифрованных файлов результата не дал. Некоторые из зашифрованных файлов жалко. Надеюсь на вашу помощь. Если не получится, то хоть базу пополните :).

files.zip FRST.txt

Изменено 7 февраля, 2022 пользователем Александр Г.

[Sandor]

Здравствуйте!

 

VoidCrypt, расшифровки нет, к сожалению. А "нешта" - это сопутствующее шифрованию файловое заражение.

[Александр Г.]

Ок, спасибо, не буду тратить время. Насыпал холмик, поставил табличку. 

[iseedeadppl]

Добрый день!

А есть возможность создать декриптор, если есть образец зашифрованного и расшифрованного файла?

[Sandor]

Здравствуйте!

 

При этом заражении - не поможет. Нужен приватный ключ, который находится у злоумышленников.