Размещено 17.04.2020 08:14:55
попался какой-то новый шифровальщик, зажал все документы. посмотрите, пожалуйста. приложил образ автозапуска и типовой заражённый файл.
Дорогие участники форума!
Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.
На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения
PRO32
— надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.
Приглашаем вас присоединиться к новому форуму PRO32.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.
файлы зашифрованы с расширением .rhino , Rhino; r/n: info.hta/ReadMe_Decryptor.txt
1
Размещено 17.04.2020 14:00:03
| Цитата |
|---|
| Петр Петрович написал: попался какой-то новый шифровальщик, зажал все документы. посмотрите, пожалуйста. приложил образ автозапуска и типовой заражённый файл. |
Если есть записка о выкупе (info.hta), добавьте записку, + сделайте логи FRST
Размещено 17.04.2020 14:05:28
судя по маркеру внутри зашифрованного файла
Marvel
и электронной почте [[email protected]] + расширению .rhino
этот шифратор называется Rhino
свежий, апрелевский
ждем записку о выкупе и логи FRST
Marvel
и электронной почте [[email protected]] + расширению .rhino
этот шифратор называется Rhino
свежий, апрелевский
ждем записку о выкупе и логи FRST
Размещено 17.04.2020 14:25:35
| Цитата |
|---|
| santy написал: судя по маркеру внутри зашифрованного файла Marvel и электронной почте [] + расширению .rhino этот шифратор называется Rhino свежий, апрелевский ждем записку о выкупе и логи FRST |
также была переписка с ними. запросили оплату на биткоин кошелёк 18244ej9qBxpD4TgQfdUGgXheuw56KinzR.
Размещено 17.04.2020 15:13:07
эти файлы можно удалить:
пароль на учетную запись администратора, скорее всего взломан
Admin (S-1-5-21-106301158-734874134-3783394130-1000 - Administrator - Enabled) => C:\Users\Admin
необходимо сменить все пароли, установив сложные пароли из чисел, символов и букв.
по расшифровке, если есть лицензия на продукты ESET сделайте запрос на расшифровку в [email protected]
пока что восстановление возможно только из бэкапов.
детект rhino на IDRansomware
Этот вымогатель еще пока изучается.
так же можно следить за этой темой
| Цитата |
|---|
| 2020-04-17 06:03 - 2020-04-17 06:03 - 000000676 _____ C:\Windows\Tasks\ReadMe_Decryptor.txt 2020-04-17 06:03 - 2020-04-17 06:03 - 000000676 _____ C:\Windows\SysWOW64\ReadMe_Decryptor.txt 2020-04-17 06:03 - 2020-04-17 06:03 - 000000676 _____ C:\Windows\ReadMe_Decryptor.txt 2020-04-17 06:03 - 2020-04-17 06:03 - 000000676 _____ C:\Windows\Minidump\ReadMe_Decryptor.txt 2020-04-17 04:22 - 2020-04-17 06:04 - 000003336 _____ C:\Users\Актив\AppData\Roaming\Decryptor_Info.hta 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Актив2\AppData\Local\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\USR1CV8\AppData\Local\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\TLA\AppData\Local\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\tern.lilia\Desktop\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\tern.lilia\AppData\Local\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Public\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Default\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Default User\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\axa\AppData\Local\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Aktiv\Downloads\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Aktiv\AppData\Local\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Admin\Downloads\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Admin\Documents\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Admin\Desktop\ReadMe_Decryptor.txt 2020-04-17 04:17 - 2020-04-17 04:17 - 000000676 _____ C:\Users\Admin\AppData\Local\ReadMe_Decryptor.txt |
пароль на учетную запись администратора, скорее всего взломан
Admin (S-1-5-21-106301158-734874134-3783394130-1000 - Administrator - Enabled) => C:\Users\Admin
необходимо сменить все пароли, установив сложные пароли из чисел, символов и букв.
по расшифровке, если есть лицензия на продукты ESET сделайте запрос на расшифровку в [email protected]
пока что восстановление возможно только из бэкапов.
детект rhino на IDRansomware
Этот вымогатель еще пока изучается.
| Цитата |
|---|
| Опознан как ransomnote_email: [email protected] sample_extension: .rhino |
1
Читают тему