Voidcrypt , VoidCrypt

Добрый день. подскажите сталкивался кто то с шифровальщиком VOID.Файлы зашифрованы по типу 1.cer.[decoderma@tutanota.com][ID-CJ32FSXI7OR4QA8].Void
добавьте несколько зашифрованных файлов и записку о выкупе в архиве,
+
добавьте образ автозапуска системы + логи FRST
ссылка на архив https://yadi.sk/d/WpPIIoeQ1h3r_A
VoidCrypt
Этот вымогатель еще пока изучается.

Опознан как

   ransomnote_email: decoderma@tutanota.com
   sample_extension: .[<email>][ID-<id>].Void
   sample_bytes: [0x149A - 0x149D] 0x79656B

https://id-ransomware.malwarehunterteam.com/identify.php?case=dff85bfcaacbd05560b1425071f0916f033abaeb
---------
доп. информация: https://twitter.com/Amigo_A_/status/1248686694657900552

https://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html

логи сейчас проверю
+ добавьте логи FRST
http://forum.esetnod32.ru/forum9/topic2798/
Здравствуйте!
Словили шифровальщик, зашифровал все файлы.
Логи и файлы прикладываю к сообщению.
Есть файл вируса - если надо, могу прислать, судя по ВирусТоталу это VoidCrypt
Изменено: nikvpro nik - 16.12.2020 17:50:15
сервер для удаленного доступа сами ставили?
C:\PROGRAM FILES (X86)\LITEMANAGER PRO - SERVER\ROMSERVER.EXE
192.168.0.47:49303 <-> 188.17.158.139:5651
+ добавьте еще лог ESETlogcollector
https://forum.esetnod32.ru/forum9/topic10671/
Цитата
nikvpro nik написал:
Зашифрованные файлы и выкуп.rar  (301.2 КБ)
да, судя по id-ransomware:
VoidCrypt
https://id-ransomware.malwarehunterteam.com/identify.php?case=ca402a65795bb481f6ec6d01908ea8be38dbedc1

Цитата
Есть файл вируса - если надо, могу прислать, судя по ВирусТоталу это VoidCrypt
файл можно выслать в почту safety@chklst.ru в архиве, с паролем infected
+
это информацию можно добавить в архив:

Цитата
2020-11-30 11:31 - 2020-11-30 11:31 - 000000398 _____ C:\Users\Все пользователи\pubk.txt
2020-11-30 11:31 - 2020-11-30 11:31 - 000000398 _____ C:\ProgramData\pubk.txt
2020-11-30 11:31 - 2020-11-30 11:31 - 000000015 _____ C:\Users\Все пользователи\IDk.txt
2020-11-30 11:31 - 2020-11-30 11:31 - 000000015 _____ C:\ProgramData\IDk.txt
Цитата
santy написал:
сервер для удаленного доступа сами ставили?
C:\PROGRAM FILES (X86)\LITEMANAGER PRO - SERVER\ROMSERVER.EXE
192.168.0.47:49303 <-> 188.17.158.139:5651
Да, LiteManager сам устанавливал
Читают тему (гостей: 2)