файлы зашифрованы с расширением .rhino - Форум технической поддержки ESET NOD32

Сообщений: 5

Баллов: 2

Регистрация: 31.10.2019

Размещено 17.04.2020 08:14:55

попался какой-то новый шифровальщик, зажал все документы. посмотрите, пожалуйста. приложил образ автозапуска и типовой заражённый файл.

Прикрепленные файлы

SERVER_2020-04-17_09-50-52_v4.1.8.7z (504.22 КБ)
fixes447.txt.[[email protected]].7z (1.42 КБ)

Сообщений: 17790

Баллов: 14232

Регистрация: 16.03.2010

Размещено 17.04.2020 14:00:03

Цитата
Петр Петрович написал: попался какой-то новый шифровальщик, зажал все документы. посмотрите, пожалуйста. приложил образ автозапуска и типовой заражённый файл.

это не Crysis, другой, неведомый(пока) шифратор.
Если есть записка о выкупе (info.hta), добавьте записку, + сделайте логи FRST
http://forum.esetnod32.ru/forum9/topic2798/

[ Как создать образ автозапуска? ]

Сообщений: 17790

Баллов: 14232

Регистрация: 16.03.2010

Размещено 17.04.2020 14:05:28

судя по маркеру внутри зашифрованного файла
Marvel
и электронной почте [[email protected]] + расширению .rhino
этот шифратор называется Rhino
свежий, апрелевский
https://id-ransomware.blogspot.com/2020/04/rhino-ransomware.html
ждем записку о выкупе и логи FRST

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 31.10.2019

Размещено 17.04.2020 14:25:35

Цитата
santy написал: судя по маркеру внутри зашифрованного файла Marvel и электронной почте [[email protected]] + расширению .rhino этот шифратор называется Rhino свежий, апрелевский https://id-ransomware.blogspot.com/2020/04/rhino-ransomware.html ждем записку о выкупе и логи FRST

Цитата

santy написал:
судя по маркеру внутри зашифрованного файла
Marvel
и электронной почте [[email protected]] + расширению .rhino
этот шифратор называется Rhino
свежий, апрелевский
https://id-ransomware.blogspot.com/2020/04/rhino-ransomware.html
ждем записку о выкупе и логи FRST

сканирование проводил с настройками, как в прилагаемом скриншоте. в вашем гайде картинка на отображается. также прикрепляю письмо с требоваением и отчёты программы.

также была переписка с ними. запросили оплату на биткоин кошелёк 18244ej9qBxpD4TgQfdUGgXheuw56KinzR.

Прикрепленные файлы

настройки.jpg (36.21 КБ)

ReadMe_Decryptor.txt (676 Б)
FRST.txt (39.98 КБ)
Addition.txt (39.93 КБ)

Сообщений: 17790

Баллов: 14232

Регистрация: 16.03.2010

Размещено 17.04.2020 15:13:07

эти файлы можно удалить:

Цитата
2020-04-17 06:03 - 2020-04-17 06:03 - 000000676 _____ C:\Windows\Tasks\ReadMe_Decryptor.txt 2020-04-17 06:03 - 2020-04-17 06:03 - 000000676 _____ C:\Windows\SysWOW64\ReadMe_Decryptor.txt 2020-04-17 06:03 - 2020-04-17 06:03 - 000000676 _____ C:\Windows\ReadMe_Decryptor.txt 2020-04-17 06:03 - 2020-04-17 06:03 - 000000676 _____ C:\Windows\Minidump\ReadMe_Decryptor.txt 2020-04-17 04:22 - 2020-04-17 06:04 - 000003336 _____ C:\Users\Актив\AppData\Roaming\Decryptor_Info.hta 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Актив2\AppData\Local\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\USR1CV8\AppData\Local\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\TLA\AppData\Local\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\tern.lilia\Desktop\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\tern.lilia\AppData\Local\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Public\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Default\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Default User\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\axa\AppData\Local\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Aktiv\Downloads\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Aktiv\AppData\Local\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Admin\Downloads\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Admin\Documents\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Admin\Desktop\ReadMe_Decryptor.txt 2020-04-17 04:17 - 2020-04-17 04:17 - 000000676 _____ C:\Users\Admin\AppData\Local\ReadMe_Decryptor.txt

Цитата

2020-04-17 06:03 - 2020-04-17 06:03 - 000000676 _____ C:\Windows\Tasks\ReadMe_Decryptor.txt
2020-04-17 06:03 - 2020-04-17 06:03 - 000000676 _____ C:\Windows\SysWOW64\ReadMe_Decryptor.txt
2020-04-17 06:03 - 2020-04-17 06:03 - 000000676 _____ C:\Windows\ReadMe_Decryptor.txt
2020-04-17 06:03 - 2020-04-17 06:03 - 000000676 _____ C:\Windows\Minidump\ReadMe_Decryptor.txt
2020-04-17 04:22 - 2020-04-17 06:04 - 000003336 _____ C:\Users\Актив\AppData\Roaming\Decryptor_Info.hta
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Актив2\AppData\Local\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\USR1CV8\AppData\Local\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\TLA\AppData\Local\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\tern.lilia\Desktop\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\tern.lilia\AppData\Local\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Public\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Default\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Default User\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\axa\AppData\Local\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Aktiv\Downloads\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Aktiv\AppData\Local\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Admin\Downloads\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Admin\Documents\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Admin\Desktop\ReadMe_Decryptor.txt
2020-04-17 04:17 - 2020-04-17 04:17 - 000000676 _____ C:\Users\Admin\AppData\Local\ReadMe_Decryptor.txt

пароль на учетную запись администратора, скорее всего взломан
Admin (S-1-5-21-106301158-734874134-3783394130-1000 - Administrator - Enabled) => C:\Users\Admin
необходимо сменить все пароли, установив сложные пароли из чисел, символов и букв.

по расшифровке, если есть лицензия на продукты ESET сделайте запрос на расшифровку в [email protected]

пока что восстановление возможно только из бэкапов.

детект rhino на IDRansomware
https://id-ransomware.malwarehunterteam.com/identify.php?case=e120eab6577b483cec23ba18c5b0957a18359439

Этот вымогатель еще пока изучается.

Цитата
Опознан как ransomnote_email: [email protected] sample_extension: .rhino

так же можно следить за этой темой
https://www.bleepingcomputer.com/forums/t/716961/

[ Как создать образ автозапуска? ]

файлы зашифрованы с расширением .rhino , Rhino; r/n: info.hta/ReadMe_Decryptor.txt