Размещено 17.04.2020 08:14:55
попался какой-то новый шифровальщик, зажал все документы. посмотрите, пожалуйста. приложил образ автозапуска и типовой заражённый файл.
Уважаемые пользователи!
Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новый антивирус от компании PRO32.
Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
файлы зашифрованы с расширением .rhino , Rhino; r/n: info.hta/ReadMe_Decryptor.txt
1
Размещено 17.04.2020 14:00:03
| Цитата |
|---|
| Петр Петрович написал: попался какой-то новый шифровальщик, зажал все документы. посмотрите, пожалуйста. приложил образ автозапуска и типовой заражённый файл. |
Если есть записка о выкупе (info.hta), добавьте записку, + сделайте логи FRST
Размещено 17.04.2020 14:05:28
судя по маркеру внутри зашифрованного файла
Marvel
и электронной почте [[email protected]] + расширению .rhino
этот шифратор называется Rhino
свежий, апрелевский
ждем записку о выкупе и логи FRST
Marvel
и электронной почте [[email protected]] + расширению .rhino
этот шифратор называется Rhino
свежий, апрелевский
ждем записку о выкупе и логи FRST
Размещено 17.04.2020 14:25:35
| Цитата |
|---|
| santy написал: судя по маркеру внутри зашифрованного файла Marvel и электронной почте [] + расширению .rhino этот шифратор называется Rhino свежий, апрелевский ждем записку о выкупе и логи FRST |
также была переписка с ними. запросили оплату на биткоин кошелёк 18244ej9qBxpD4TgQfdUGgXheuw56KinzR.
Размещено 17.04.2020 15:13:07
эти файлы можно удалить:
пароль на учетную запись администратора, скорее всего взломан
Admin (S-1-5-21-106301158-734874134-3783394130-1000 - Administrator - Enabled) => C:\Users\Admin
необходимо сменить все пароли, установив сложные пароли из чисел, символов и букв.
по расшифровке, если есть лицензия на продукты ESET сделайте запрос на расшифровку в [email protected]
пока что восстановление возможно только из бэкапов.
детект rhino на IDRansomware
Этот вымогатель еще пока изучается.
так же можно следить за этой темой
| Цитата |
|---|
| 2020-04-17 06:03 - 2020-04-17 06:03 - 000000676 _____ C:\Windows\Tasks\ReadMe_Decryptor.txt 2020-04-17 06:03 - 2020-04-17 06:03 - 000000676 _____ C:\Windows\SysWOW64\ReadMe_Decryptor.txt 2020-04-17 06:03 - 2020-04-17 06:03 - 000000676 _____ C:\Windows\ReadMe_Decryptor.txt 2020-04-17 06:03 - 2020-04-17 06:03 - 000000676 _____ C:\Windows\Minidump\ReadMe_Decryptor.txt 2020-04-17 04:22 - 2020-04-17 06:04 - 000003336 _____ C:\Users\Актив\AppData\Roaming\Decryptor_Info.hta 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Актив2\AppData\Local\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\USR1CV8\AppData\Local\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\TLA\AppData\Local\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\tern.lilia\Desktop\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\tern.lilia\AppData\Local\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Public\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Default\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Default User\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\axa\AppData\Local\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Aktiv\Downloads\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Aktiv\AppData\Local\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Admin\Downloads\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Admin\Documents\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Admin\Desktop\ReadMe_Decryptor.txt 2020-04-17 04:17 - 2020-04-17 04:17 - 000000676 _____ C:\Users\Admin\AppData\Local\ReadMe_Decryptor.txt |
пароль на учетную запись администратора, скорее всего взломан
Admin (S-1-5-21-106301158-734874134-3783394130-1000 - Administrator - Enabled) => C:\Users\Admin
необходимо сменить все пароли, установив сложные пароли из чисел, символов и букв.
по расшифровке, если есть лицензия на продукты ESET сделайте запрос на расшифровку в [email protected]
пока что восстановление возможно только из бэкапов.
детект rhino на IDRansomware
Этот вымогатель еще пока изучается.
| Цитата |
|---|
| Опознан как ransomnote_email: [email protected] sample_extension: .rhino |
1
Читают тему