Вход
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

Файлы зашифрованы с расширением .Lazarus; Lazarus+; .Angus; .Skynet; .Kronos; .Void; .mifr; .onion; Spade; crypter; .RTX; .ADA; .gts; .help; .Iwan; .killer; .lama; .professor; .zxc; solo; .PAY; MrWhite; .rar; RYKCRYPT , VoidCrypt/Filecoder.Ouroboros

1 2 3 След.
RSS
 
Анатолий Масанов
Анатолий Масанов
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 04.06.2020
Размещено 04.06.2020 08:36:29
Добрый день. подскажите сталкивался кто то с шифровальщиком VOID.Файлы зашифрованы по типу 1.cer.[[email protected]][ID-CJ32FSXI7OR4QA8].Void
 
santy
santy
Администратор
Сообщений: 17792
Баллов: 14233
Регистрация: 16.03.2010
Размещено 04.06.2020 15:25:30
добавьте несколько зашифрованных файлов и записку о выкупе в архиве,
+
добавьте образ автозапуска системы + логи FRST
[ Как создать образ автозапуска? ]
 
Анатолий Масанов
Анатолий Масанов
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 04.06.2020
Размещено 05.06.2020 07:48:30
ссылка на архив https://yadi.sk/d/WpPIIoeQ1h3r_A
 
santy
santy
Администратор
Сообщений: 17792
Баллов: 14233
Регистрация: 16.03.2010
Размещено 05.06.2020 13:57:56
VoidCrypt
Этот вымогатель еще пока изучается.

Опознан как

   ransomnote_email: [email protected]
   sample_extension: .[<email>][ID-<id>].Void
   sample_bytes: [0x149A - 0x149D] 0x79656B

https://id-ransomware.malwarehunterteam.com/identify.php?case=dff85bfcaacbd05560b1425071f0916f033abaeb
---------
доп. информация: https://twitter.com/Amigo_A_/status/1248686694657900552

https://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html

логи сейчас проверю
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17792
Баллов: 14233
Регистрация: 16.03.2010
Размещено 05.06.2020 14:04:25
+ добавьте логи FRST
http://forum.esetnod32.ru/forum9/topic2798/
[ Как создать образ автозапуска? ]
 
nikvpro nik
nikvpro nik
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 14.12.2020
Размещено 14.12.2020 16:05:49
Здравствуйте!
Словили шифровальщик, зашифровал все файлы.
Логи и файлы прикладываю к сообщению.
Есть файл вируса - если надо, могу прислать, судя по ВирусТоталу это VoidCrypt
Изменено: nikvpro nik - 16.12.2020 17:50:15
 
santy
santy
Администратор
Сообщений: 17792
Баллов: 14233
Регистрация: 16.03.2010
Размещено 14.12.2020 16:12:20
сервер для удаленного доступа сами ставили?
C:\PROGRAM FILES (X86)\LITEMANAGER PRO - SERVER\ROMSERVER.EXE
192.168.0.47:49303 <-> 188.17.158.139:5651
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17792
Баллов: 14233
Регистрация: 16.03.2010
Размещено 14.12.2020 16:13:56
+ добавьте еще лог ESETlogcollector
https://forum.esetnod32.ru/forum9/topic10671/
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17792
Баллов: 14233
Регистрация: 16.03.2010
Размещено 14.12.2020 16:16:48
Цитата
nikvpro nik написал:
Зашифрованные файлы и выкуп.rar  (301.2 КБ)
да, судя по id-ransomware:
VoidCrypt
https://id-ransomware.malwarehunterteam.com/identify.php?case=ca402a65795bb481f6ec6d01908ea8be38dbedc1

Цитата
Есть файл вируса - если надо, могу прислать, судя по ВирусТоталу это VoidCrypt
файл можно выслать в почту [email protected] в архиве, с паролем infected
+
это информацию можно добавить в архив:

Цитата
2020-11-30 11:31 - 2020-11-30 11:31 - 000000398 _____ C:\Users\Все пользователи\pubk.txt
2020-11-30 11:31 - 2020-11-30 11:31 - 000000398 _____ C:\ProgramData\pubk.txt
2020-11-30 11:31 - 2020-11-30 11:31 - 000000015 _____ C:\Users\Все пользователи\IDk.txt
2020-11-30 11:31 - 2020-11-30 11:31 - 000000015 _____ C:\ProgramData\IDk.txt
[ Как создать образ автозапуска? ]
 
nikvpro nik
nikvpro nik
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 14.12.2020
Размещено 14.12.2020 16:19:42
Цитата
santy написал:
сервер для удаленного доступа сами ставили?
C:\PROGRAM FILES (X86)\LITEMANAGER PRO - SERVER\ROMSERVER.EXE
192.168.0.47:49303 <-> 188.17.158.139:5651
Да, LiteManager сам устанавливал
 
1 2 3 След.
Читают тему (гостей: 1)