Перейти к содержанию

Шифровальщик %originalFileName%.(%someID%).(Folperdock@gmail.com).Godox

Александр Г.

Автор Александр Г.,
в Помощь в борьбе с шифровальщиками-вымогателями

 Share Подписчики 1

Рекомендуемые сообщения

Александр Г.

Александр Г. 0

Опубликовано
Опубликовано (изменено)

Добрый день!

досадная история ошибки:

Создал на домашнем ПК пару виртуальных машин VirtualBox, поднял контроллер домена, работал под доменными учетками со сложными паролями. Вторую машину опубликовал в интернет по RDP с измененным TCP портом, но забыл про учетку локального администратора на ней с простым паролем. Чем и воспользовался злоумышленник :( , есть следы присутствия в системе в виде профилей пользователей, которых я не создавал. Один из дисков хоста был замаплен на виртуалку с правами по записи. Результат обнаружился спустя некоторое время в виде нестартующей виртуалки и зашифрованной части файлов на замапленном диске. Просканировал хост, обнаружились зараженные файлы в архиве дистрибутивов, угрозы устранены. Сделал на виртуалке снэпшот, просканировал KRD, обнаружился Win32.Neshta.A. Остальное во вложениях. Поиск рецепта для расшифровки не дал результатов, применение наугад некоторых дешифрующих утилит с парами оригинальных и зашифрованных файлов результата не дал. Некоторые из зашифрованных файлов жалко. Надеюсь на вашу помощь. Если не получится, то хоть базу пополните :).

files.zip FRST.txt

Изменено пользователем Александр Г.
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 131

Опубликовано
Опубликовано

Здравствуйте!

 

VoidCrypt, расшифровки нет, к сожалению. А "нешта" - это сопутствующее шифрованию файловое заражение.

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...
Sandor

Sandor 1 131

Опубликовано
Опубликовано

Здравствуйте!

 

При этом заражении - не поможет. Нужен приватный ключ, который находится у злоумышленников.

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • The_Immortal
      Зашифрованные файлы
      От The_Immortal
      Приветствую!
       
      Пару дней назад получили шифрование. Можно ли что-то с этим сделать? И как активный и актуальный KES мог такое пропустить?
       
      Спасибо!
      Addition.txt FRST.txt info+.zip
    • vit akimov
      зашифрованы файлы [CW-PA0687294351](spystar1@onionmail.com) в формате rar
      От vit akimov
      Здравствуйте 
      при перезагрузке компа вывалились все приложения переименовались ярлыки в [CW-PA0687294351](spystar1@onionmail.com)  в формате rar 
      как в правилах написано прилагаю архив с двумя файлами зашифрованными и пароль на архив virus
      так же прилагаю логи из программы  farbar recovery scan tool
      Addition.txt FRST.txt [CW-PA0687294351](spystar1@onionmail.com) в формате rar.rar
    • DRAM
      Компьютер зашифрован PayDecryption@gmail.com[FAC615D6].PAY
      От DRAM
      Здравствуйте. Ночью был зашифрован компьютер .  На другой винчестер была установлена новая Win10 и с неё загружена программа drweb cureit которая нашла Trojan.encoder.34144 "Windows Session Manager.exe" и удалила его.
      2 зашифрованных файла и требования
      отчёт FRST
      Извините не нашёл как к письму прикрепить файлы
      оригинальная операционная система загружается, но там всё заблокировано
    • LostGod
      Шифровальщик youhau@onionmail.org *.youhau
      От LostGod
      Приветствую.
      Сегодня ночью отработал шифровальщик. Соответственно все базы шифрованы. 
      Будьте добры посмотрите и скажите есть надежда или нет. 
      Благодарю.
       
      youhau@onionmail.org.7z Addition.txt FRST.txt
    • transdemail
      Файлы зашифрованы Trojan.Encoder.29750
      От transdemail
      Приветствую! Шансов мало, но друг?
      FRST.txt kav.zip
      Addition.txt Shortcut.txt
×
×
  • Создать...