Файлы зашифрованы с расширением .Lazarus; Lazarus+; .Angus; .Skynet; .Kronos; .Void; .mifr; .onion; Spade; crypter; .RTX; .ADA; .gts; .help; .Iwan; .killer; .lama; .professor; .zxc; solo; .PAY; MrWhite; .rar; RYKCRYPT; .MRN

Сообщений: 2

Баллов: 1

Регистрация: 04.06.2020

Размещено 04.06.2020 08:36:29

Добрый день. подскажите сталкивался кто то с шифровальщиком VOID.Файлы зашифрованы по типу 1.cer.[[email protected]][ID-CJ32FSXI7OR4QA8].Void

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 04.06.2020 15:25:30

добавьте несколько зашифрованных файлов и записку о выкупе в архиве,
+
добавьте образ автозапуска системы + логи FRST

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 04.06.2020

Размещено 05.06.2020 07:48:30

ссылка на архив https://yadi.sk/d/WpPIIoeQ1h3r_A

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 05.06.2020 13:57:56

VoidCrypt
Этот вымогатель еще пока изучается.

Опознан как

ransomnote_email: [email protected]
sample_extension: .[<email>][ID-<id>].Void
sample_bytes: [0x149A - 0x149D] 0x79656B

https://id-ransomware.malwarehunterteam.com/identify.php?case=dff85bfcaacbd05560b1425071f0916f033abaeb
---------
доп. информация: https://twitter.com/Amigo_A_/status/1248686694657900552

https://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html

логи сейчас проверю

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 05.06.2020 14:04:25

+ добавьте логи FRST
http://forum.esetnod32.ru/forum9/topic2798/

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 14.12.2020

Размещено 14.12.2020 16:05:49

Здравствуйте!
Словили шифровальщик, зашифровал все файлы.
Логи и файлы прикладываю к сообщению.
Есть файл вируса - если надо, могу прислать, судя по ВирусТоталу это VoidCrypt

Прикрепленные файлы

FRST.txt (145.18 КБ)
ANASTASIA_COMP_2020-12-14_15-56-32_v4.11.7z (576.45 КБ)
Addition.txt (42.49 КБ)
Зашифрованные файлы и выкуп.rar (301.2 КБ)

Изменено: nikvpro nik - 16.12.2020 17:50:15

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 14.12.2020 16:12:20

сервер для удаленного доступа сами ставили?
C:\PROGRAM FILES (X86)\LITEMANAGER PRO - SERVER\ROMSERVER.EXE
192.168.0.47:49303 <-> 188.17.158.139:5651

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 14.12.2020 16:13:56

+ добавьте еще лог ESETlogcollector
https://forum.esetnod32.ru/forum9/topic10671/

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 14.12.2020 16:16:48

Цитата
nikvpro nik написал: Зашифрованные файлы и выкуп.rar (301.2 КБ)

да, судя по id-ransomware:
VoidCrypt
https://id-ransomware.malwarehunterteam.com/identify.php?case=ca402a65795bb481f6ec6d01908ea8be38dbedc1

Цитата
Есть файл вируса - если надо, могу прислать, судя по ВирусТоталу это VoidCrypt

файл можно выслать в почту [email protected] в архиве, с паролем infected
+
это информацию можно добавить в архив:

Цитата
2020-11-30 11:31 - 2020-11-30 11:31 - 000000398 _____ C:\Users\Все пользователи\pubk.txt 2020-11-30 11:31 - 2020-11-30 11:31 - 000000398 _____ C:\ProgramData\pubk.txt 2020-11-30 11:31 - 2020-11-30 11:31 - 000000015 _____ C:\Users\Все пользователи\IDk.txt 2020-11-30 11:31 - 2020-11-30 11:31 - 000000015 _____ C:\ProgramData\IDk.txt

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 14.12.2020

Размещено 14.12.2020 16:19:42

Цитата
santy написал: сервер для удаленного доступа сами ставили? C:\PROGRAM FILES (X86)\LITEMANAGER PRO - SERVER\ROMSERVER.EXE 192.168.0.47:49303 <-> 188.17.158.139:5651

Да, LiteManager сам устанавливал

Файлы зашифрованы с расширением .Lazarus; Lazarus+; .Angus; .Skynet; .Kronos; .Void; .mifr; .onion; Spade; crypter; .RTX; .ADA; .gts; .help; .Iwan; .killer; .lama; .professor; .zxc; solo; .PAY; MrWhite; .rar; RYKCRYPT; .MRN , VoidCrypt/Filecoder.Ouroboros