Перейти к содержанию

Шифровальщик %originalFileName%.(%someID%).(Folperdock@gmail.com).Godox

Александр Г.

Автор Александр Г.,
в Помощь в борьбе с шифровальщиками-вымогателями

 Share Подписчики 1

Рекомендуемые сообщения

Александр Г.

Александр Г. 0

Опубликовано
Опубликовано (изменено)

Добрый день!

досадная история ошибки:

Создал на домашнем ПК пару виртуальных машин VirtualBox, поднял контроллер домена, работал под доменными учетками со сложными паролями. Вторую машину опубликовал в интернет по RDP с измененным TCP портом, но забыл про учетку локального администратора на ней с простым паролем. Чем и воспользовался злоумышленник :( , есть следы присутствия в системе в виде профилей пользователей, которых я не создавал. Один из дисков хоста был замаплен на виртуалку с правами по записи. Результат обнаружился спустя некоторое время в виде нестартующей виртуалки и зашифрованной части файлов на замапленном диске. Просканировал хост, обнаружились зараженные файлы в архиве дистрибутивов, угрозы устранены. Сделал на виртуалке снэпшот, просканировал KRD, обнаружился Win32.Neshta.A. Остальное во вложениях. Поиск рецепта для расшифровки не дал результатов, применение наугад некоторых дешифрующих утилит с парами оригинальных и зашифрованных файлов результата не дал. Некоторые из зашифрованных файлов жалко. Надеюсь на вашу помощь. Если не получится, то хоть базу пополните :).

files.zip FRST.txt

Изменено пользователем Александр Г.
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1103

Опубликовано
Опубликовано

Здравствуйте!

 

VoidCrypt, расшифровки нет, к сожалению. А "нешта" - это сопутствующее шифрованию файловое заражение.

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...
Sandor

Sandor 1103

Опубликовано
Опубликовано

Здравствуйте!

 

При этом заражении - не поможет. Нужен приватный ключ, который находится у злоумышленников.

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • transdemail
      Файлы зашифрованы Trojan.Encoder.29750
      От transdemail
      Приветствую! Шансов мало, но друг?
      FRST.txt kav.zip
      Addition.txt Shortcut.txt
    • quazar
      Есть ключ от зашифрованных файлов
      От quazar
      Добрый день! Есть ключ от зашифрованных файлов, какой программой можно их расшифровать? 
    • Evgen_V
      Шифровальщик (filescoder@tutanota.com).Zendaya
      От Evgen_V
      Здравствуйте, 28.05 зашифровались все файлы и присвоилось расширение (filescoder@tutanota.com).Zendaya, на тот момент был установлен и работает до сих пор Kaspersky Endpoint Security 11 v.11.9.0.351 (Лицензия), очень прошу помощи!
      Addition.txt FRST.txt зашифрованные файлы.rar
    • Evgen_V
      Шифровальщик (decryptionmypc2017@gmail.com).Joker
      От Evgen_V
      Добрый вечер. поймали шифровальщик, поменял расширения файлов на это (decryptionmypc2017@gmail.com).Joker .  FRST.txtAddition.txtзашифрованные файлы.rar
    • diox
      Зашифровали все файлы вирусами Ransom.Artemis и Ransom.FileCryptor
      От diox
      Через удалённый рабочий стол зашифровали все данные на сервере (Windows Server 2008 R2 Standard).
      Файлы стали иметь вид: ИМЯ.РАСШИРЕНИЕ.(MJ-XH3481609725)(Decryption.helper@aol.com).Cj.id[A8027869].[unlockdeer@gmail.com].optimus
      Сканированием с помощью Malwarebytes, в папке Musik обнаружилось два вируса Ransom.Artemis (unlockdeer@gmail.com.exe) и Ransom.FileCryptor (decryptcj@gmail.com.exe). Так же там лежат две программы Advanced_IP_Scanner_2.5.3850.exe и mimikatz_trunk (5).zip.
      Связывались с мошенниками, они просили прислать файлы из ProgramData, там какой-то ключ лежит, так что их тоже прикрепляю архивом без пароля.
      FRST.txt Addition.txt Trojan.rar Файлы и требование.rar ProgramData.rar
×
×
  • Создать...