Выбрать дату в календареВыбрать дату в календаре

1 2 3 4 5 6 7 8 9 10 11 ... 1651 След.
файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt
@Юрій Ярошенко,
добавьте образ автозапуска системы, где произошло шифрование.
возможно тела шифратора еще остались в системе
файлы зашифрованы с расширением .limbo, e-mail: legion.developers72@gmail.com
из восстановленных детектируется как инструмент взлома:
legion-ssh-cracker.exe
https://www.virustotal.com/gui/file/12959567368ca5b14f580a225d15eef0fccda331b9b1ef1­1697d481f2c5de92d/details
возможно, это их инструмент, поскольку есть какая то связь с именем почты
legion.developers72@gmail.com
Блокировка одной из функций драйверов на видеокарты AMD, Блокируется доступ к сервису проверки совместимости системы с установленными играми
добавьте образ автозапуска системы
файлы зашифрованы с расширением .limbo, e-mail: legion.developers72@gmail.com
[QUOTE]Artur Abdullaev написал:
Добрый день! У кого  ни будь  получилось  разблокировать этого шифровальшика? У меня такая же ситуация[/QUOTE]
добавьте образ автозапуска системы,
+
несколько зашифрованных файлов в архиве
файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt
@Igor Vdovichenko,
добавьте образ автозапуска системы, где произошло шифрование.
возможно тела шифратора еще остались в системе
файлы зашифрованы с расширением .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; .kick, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:

[QUOTE] .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day; .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; .kick[/QUOTE]

[SIZE=14pt]теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:
[/SIZE]
1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);
файлы зашифрованы с расширением .limbo, e-mail: legion.developers72@gmail.com
судя по зашифрованному файлу и записке о выкупе
идентифицируется, как

[QUOTE]Zeropadypt
Для этого вымогателя пока нет способа дешифровки данных.
Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик.
Опознан как
   ransomnote_email: legion.developers72@gmail.com
[/QUOTE]
https://id-ransomware.malwarehunterteam.com/identify.php?case=02acb9bd526e65903d7d63275c950d1ea7c71aa7

https://id-ransomware.blogspot.com/2019/04/zeropadypt-ransomware.html

судя по логу коллектора в карантине ест файлы брутфорсера
[QUOTE]Dir: C:\Windows\system32\config\systemprofile\AppData\Local\ESET\ESET Security\Quarantine\
41DFDF04DF43B79C937FA74BA473F20B609795BD.NDF "C:\Users\Server\Desktop\Sys — копия (2)\Sql.exe";"C:\Users\Server\Desktop\Sys — копия\Ser.exe";"C:\Users\Server\Desktop\Sys\Sys.exe";"C:\Users\Server\Desktop\Sys — копия (2)\Ser.exe";"C:\Users\Server\Desktop\Sys — копия\Sql.exe" "@NAME=Win64/HackTool.BruteForce.B@TYPE=Trojan@SUSP=inf" 27.05.2019 11356160 bytes[/QUOTE]

так же по логу коллектору обнаружено:
[QUOTE]09.06.2019 8:47:57 Обнаружена атака на брешь в системе безопасности 94.230.208.148:35314 192.168.1.50:3389 TCP RDP/Exploit.CVE-2019-0708 C:\Windows\System32\svchost.exe NT AUTHORITY\NETWORK SERVICE
09.06.2019 8:47:57 Обнаружена атака на брешь в системе безопасности 94.230.208.148:35314 192.168.1.50:3389 TCP RDP/Exploit.CVE-2019-0708 C:\Windows\System32\svchost.exe NT AUTHORITY\NETWORK SERVICE [/QUOTE]
судя по описанию эксплойта RDP/Exploit.CVE-2019-0708 используется уязвимость сервиса RDP по названием BlueKeep
https://chklst.ru/discussion/1634/pochemu-uyazvimost-bluekeep-imeet-bolshoe-znachenie
Вы можете погуглить на эту тему и найти больше информации в сети.
Важно как можно скорее закрыть эту уязвимость, иначе атаки в ближайшем будущем повторятся.
https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708

+
этот файл проверьте на Virustotal.com и дайте ссылку в вашем сообщении.
судя по образу автозапуска фал свежий. возможно был использован для взлома сервера.
[QUOTE]Полное имя C:\USERS\АДМИНИСТРАТОР.WIN-A5OAATSPEMK\DESKTOP\LEGION-SSH-CRACKER.EXE
Имя файла                   LEGION-SSH-CRACKER.EXE
Тек. статус                 [Запускался неявно или вручную]
                           
www.virustotal.com          Хэш НЕ найден на сервере.
                           
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
File_Id                     B01EB2128000
Linker                      48.0
Размер                      13312 байт
Создан                      03.07.2019 в 22:09:04
Изменен                     04.07.2019 в 01:26:04
                           
EntryPoint                  -
OS Version                  0.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            legion-ssh-cracker.exe
Версия файла                1.0.0.0
Описание                    legion-ssh-cracker
Производитель              
Комментарий                
                           
Доп. информация             на момент обновления списка
SHA1                        C5C8EAF9CDC7FA26A57C6F0A4CE54637C516E583
MD5                         88583F78D4DBDF237ADF829326869443
                           
[/QUOTE]
в папке (Filecoder.7z) среди удаленных с рабочего стола, скорее всего эти два файла судя по размерам:
422912 байт
C:\USERS\АДМИНИСТРАТОР.WIN-A5OAATSPEMK\DESKTOP\RENCI.SSHNET.DLL
и
13312 байт
C:\USERS\АДМИНИСТРАТОР.WIN-A5OAATSPEMK\DESKTOP\LEGION-SSH-CRACKER.EXE
второй архив не открывается
felicoder.7z
уточните пароль
файлы зашифрованы с расширением .limbo, e-mail: legion.developers72@gmail.com
МАксим,
добавьте в ваше сообщение пару зашифрованных файлов и записку о выкупе.
+
добавьте образ автозапуска системы, где произошло шифрование
+
если сохранился файл шифратора, загрузите файл для анализа  на
https://www.hybrid-analysis.com/
и разрешите доступ к файлу
зашифровано с расширением *.phoenix; .phobos, Phobos
функция шифрования не обнаружена в данном файле, хотя имя файла связано с именем почты злоумышленников batecaddric@aol.com
зашифровано с расширением *.phoenix; .phobos, Phobos
судя по детекту на VT исполняемый файл заражен файловым вирусом neshta

попробуйте загрузить этот файл для анализа на
https://www.hybrid-analysis.com/
разрешите общий доступ к этому файлу
-------
по phobos, к сожалению, в вирлабах на текущий момент расшифровки нет.
восстановление документов возможно только из резервных копий.
1 2 3 4 5 6 7 8 9 10 11 ... 1651 След.