файлы зашифрованы с расширением .rhino , Rhino; r/n: info.hta/ReadMe_Decryptor.txt

1
RSS
попался какой-то новый шифровальщик, зажал все документы. посмотрите, пожалуйста. приложил образ автозапуска и типовой заражённый файл.
Цитата
Петр Петрович написал:
попался какой-то новый шифровальщик, зажал все документы. посмотрите, пожалуйста. приложил образ автозапуска и типовой заражённый файл.
это не Crysis, другой, неведомый(пока) шифратор.
Если есть записка о выкупе (info.hta), добавьте записку, + сделайте логи FRST
http://forum.esetnod32.ru/forum9/topic2798/
судя по маркеру внутри зашифрованного файла
Marvel
и электронной почте [generalchin@countermail.com] + расширению .rhino
этот шифратор называется Rhino
свежий, апрелевский
https://id-ransomware.blogspot.com/2020/04/rhino-ransomware.html
ждем записку о выкупе и логи FRST
Цитата
santy написал:
судя по маркеру внутри зашифрованного файла
Marvel
и электронной почте [generalchin@countermail.com] + расширению .rhino
этот шифратор называется Rhino
свежий, апрелевский
https://id-ransomware.blogspot.com/2020/04/rhino-ransomware.html
ждем записку о выкупе и логи FRST
сканирование проводил с настройками, как в прилагаемом скриншоте. в вашем гайде картинка на отображается. также прикрепляю письмо с требоваением и отчёты программы.

также была переписка с ними. запросили оплату на биткоин кошелёк 18244ej9qBxpD4TgQfdUGgXheuw56KinzR.
эти файлы можно удалить:

Цитата
2020-04-17 06:03 - 2020-04-17 06:03 - 000000676 _____ C:\Windows\Tasks\ReadMe_Decryptor.txt
2020-04-17 06:03 - 2020-04-17 06:03 - 000000676 _____ C:\Windows\SysWOW64\ReadMe_Decryptor.txt
2020-04-17 06:03 - 2020-04-17 06:03 - 000000676 _____ C:\Windows\ReadMe_Decryptor.txt
2020-04-17 06:03 - 2020-04-17 06:03 - 000000676 _____ C:\Windows\Minidump\ReadMe_Decryptor.txt
2020-04-17 04:22 - 2020-04-17 06:04 - 000003336 _____ C:\Users\Актив\AppData\Roaming\Decryptor_Info.hta
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Актив2\AppData\Local\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\USR1CV8\AppData\Local\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\TLA\AppData\Local\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\tern.lilia\Desktop\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\tern.lilia\AppData\Local\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Public\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Default\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Default User\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\axa\AppData\Local\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Aktiv\Downloads\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Aktiv\AppData\Local\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Admin\Downloads\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Admin\Documents\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Admin\Desktop\ReadMe_Decryptor.txt
2020-04-17 04:17 - 2020-04-17 04:17 - 000000676 _____ C:\Users\Admin\AppData\Local\ReadMe_Decryptor.txt

пароль на учетную запись администратора, скорее всего взломан
Admin (S-1-5-21-106301158-734874134-3783394130-1000 - Administrator - Enabled) => C:\Users\Admin
необходимо сменить все пароли, установив сложные пароли из чисел, символов и букв.

по расшифровке, если есть лицензия на продукты ESET сделайте запрос на расшифровку в support@esetnod32.ru

пока что восстановление возможно только из бэкапов.

детект rhino на IDRansomware
https://id-ransomware.malwarehunterteam.com/identify.php?case=e120eab6577b483cec23ba18c5b0957a18359439

Этот вымогатель еще пока изучается.

Цитата
Опознан как

   ransomnote_email: generalchin@countermail.com
   sample_extension: .rhino
так же можно следить за этой темой
https://www.bleepingcomputer.com/forums/t/716961/
1
Читают тему (гостей: 2)