Автор
Amadeys
в Помощь в борьбе с шифровальщиками-вымогателями
-
Похожий контент
-
Автор 08Sergey
Всем привет! Помогите пожалуйста, зашифровало файловый сервер, много текстовых документов, стандартные средства не помогли, есть оригинал файла и зашифрованный (в архиве), система переустановлена, письмо с требованиями не найдено...
eking.zip
-
Автор localhost
Добрый день!
Подскажите, возможно ли что-то сделать с данным типом шифровальщика. Достать логи через FRST на данный момент не представляется возможным, если получится вытащить - прикреплю в постах ниже.
1. Soft - Ярлык.lnk.id[6C99500F-2899].[update2020@airmail.cc].rar AnyDesk.exe.id[6C99500F-2899].[update2020@airmail.cc].rar
-
Автор Vlad21
Добрый день! Через RDP на наш сервер проник вирус-шифровальщик, появился новый том А на диске, там 2 файла: bootsect.bak и scream.txt. В scream.txt содержание такое:
~~~ Scream V1.1~~~
>>> What happened?
We encrypted and stolen all of your files.
We use AES and ECC algorithms.
Nobody can recover your files without our decryption service.
>>> How to recover?
We are not a politically motivated group and we want nothing more than money.
If you pay, we will provide you with decryption software and destroy the stolen data.
>>> What guarantees?
You can send us an unimportant file less than 1 MG, We decrypt it as guarantee.
If we do not send you the decryption software or delete stolen data, no one will pay us in future so we will keep our promise.
>>> How to contact us?
Our email address: Scream_@tutanota.com
In case of no answer within 24 hours, contact to this email: De_Scream@tutanota.com
Write your personal ID in the subject of the email.
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
>>>>> SCREAM 1.1 <<<<<
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
>>> Warnings!
- Do not go to recovery companies, they are just middlemen who will make money off you and cheat you.
They secretly negotiate with us, buy decryption software and will sell it to you many times more expensive or they will simply scam you.
- Do not hesitate for a long time. The faster you pay, the lower the price.
- Do not delete or modify encrypted files, it will lead to problems with decryption of files.
Подскажите, пожалуйста, что делать?
Данных как-будто нет.
Заранее спасибо!
-
Автор Andrews_vm
Поймал шифровальщик. Вероятно влез через RDP.
KRD определил как HEUR:Trojan-Ransom.Win32.Phobos.vho
Зашифрованые файлы имеют названия ИмяИсходногоФайла.id[14101A37-2899].[update2020@airmail.cc].eking
Понимаю, что пока с расшифровкой дело гиблое (буду рад каким-то новостям), но может как-то почистить систему, чтоб вчистую не поднимать заново? Заранее спасибо за помощь.
Addition.txt FRST.txt EncryptedFiles.zip
-
Автор djvmb
На сервере используется ОС Windows 7 Pro x64.
Программистом 1С был подменен в системе DLL-файл скаченный из сети для обеспечения множественного входа на сервер терминалов, чтобы не устанавливать более дорогой Windows Server. Файл так же сохранен вместе с телом трояна а каталоге карантина от Dr. WEB CureIt!
Далее, им на роутере был проброшен порт 3306, несмотря на предупреждение!
Результат не заставил себя долго ждать: Trojan.Encoder.3953v5.
Прикладываю архив согласно установленным правилам.
CryptFileAndTroganFileInfo.zip
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти