Форум esetnod32.ru [тема: файлы зашифрованы с расширением .limbo]

Форум esetnod32.ru [тема: файлы зашифрованы с расширением .limbo] http://forum.esetnod32.ru Новое в теме файлы зашифрованы с расширением .limbo форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Thu, 16 Apr 2026 09:35:21 +0300 файлы зашифрованы с расширением .limbo файлы зашифрованы с расширением .limbo Zeropadypt NextGen / Ouroboros в форуме Шифровальщики файлов и подбор дешифраторов.
из восстановленных детектируется как инструмент взлома:
legion-ssh-cracker.exe
https://www.virustotal.com/gui/file/12959567368ca5b14f580a225d15eef0fccda331b9b1ef11697d481f2c5de92d/details
возможно, это их инструмент, поскольку есть какая то связь с именем почты
legion.developers72@gmail.com
10.07.2019 17:26:10, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15372/message106904/ http://forum.esetnod32.ru/messages/forum35/topic15372/message106904/ Wed, 10 Jul 2019 17:26:10 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .limbo файлы зашифрованы с расширением .limbo Zeropadypt NextGen / Ouroboros в форуме Шифровальщики файлов и подбор дешифраторов.
Кстати говоря, в продолжении темы. Платить этим .... лучше не стоит, ибо вам восстановят в лучшем случае несколько файлов, потом попросят куда более большую сумму. Успел тут кое-что поймать, когда один из этих мошенников подключался к серверу. Возможно что-то найдётся полезное, но как я их отрубил, они резко начали нервничать. Прилагаю файл выгрузки и файлы, что не успели удалить мошенники.
filecoder.7z
1C-NEW_2019-07-09_18-45-18_v4.1.6.7z
10.07.2019 15:15:55, Булычев Максим.]]> http://forum.esetnod32.ru/messages/forum35/topic15372/message106903/ http://forum.esetnod32.ru/messages/forum35/topic15372/message106903/ Wed, 10 Jul 2019 15:15:55 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .limbo файлы зашифрованы с расширением .limbo Zeropadypt NextGen / Ouroboros в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Artur Abdullaev написал:
Добрый день! У кого ни будь получилось разблокировать этого шифровальшика? У меня такая же ситуация
=============
добавьте образ автозапуска системы,
+
несколько зашифрованных файлов в архиве
09.07.2019 17:22:17, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15372/message106898/ http://forum.esetnod32.ru/messages/forum35/topic15372/message106898/ Tue, 09 Jul 2019 17:22:17 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .limbo файлы зашифрованы с расширением .limbo Zeropadypt NextGen / Ouroboros в форуме Шифровальщики файлов и подбор дешифраторов.
Добрый день! У кого ни будь получилось разблокировать этого шифровальшика? У меня такая же ситуация
09.07.2019 16:30:19, Artur Abdullaev.]]> http://forum.esetnod32.ru/messages/forum35/topic15372/message106897/ http://forum.esetnod32.ru/messages/forum35/topic15372/message106897/ Tue, 09 Jul 2019 16:30:19 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .limbo файлы зашифрованы с расширением .limbo Zeropadypt NextGen / Ouroboros в форуме Шифровальщики файлов и подбор дешифраторов.
судя по зашифрованному файлу и записке о выкупе
идентифицируется, как

====quote====
Zeropadypt
Для этого вымогателя пока нет способа дешифровки данных.
Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик.
Опознан как
ransomnote_email: legion.developers72@gmail.com

=============
https://id-ransomware.malwarehunterteam.com/identify.php?case=02acb9bd526e65903d7d63275c950d1ea7c71aa7

https://id-ransomware.blogspot.com/2019/04/zeropadypt-ransomware.html

судя по логу коллектора в карантине ест файлы брутфорсера

====quote====
Dir: C:\Windows\system32\config\systemprofile\AppData\Local\ESET\ESET Security\Quarantine\
41DFDF04DF43B79C937FA74BA473F20B609795BD.NDF "C:\Users\Server\Desktop\Sys — копия (2)\Sql.exe";"C:\Users\Server\Desktop\Sys — копия\Ser.exe";"C:\Users\Server\Desktop\Sys\Sys.exe";"C:\Users\Server\Desktop\Sys — копия (2)\Ser.exe";"C:\Users\Server\Desktop\Sys — копия\Sql.exe" "@NAME=Win64/HackTool.BruteForce.B@TYPE=Trojan@SUSP=inf" 27.05.2019 11356160 bytes
=============

так же по логу коллектору обнаружено:

====quote====
09.06.2019 8:47:57 Обнаружена атака на брешь в системе безопасности 94.230.208.148:35314 192.168.1.50:3389 TCP RDP/Exploit.CVE-2019-0708 C:\Windows\System32\svchost.exe NT AUTHORITY\NETWORK SERVICE
09.06.2019 8:47:57 Обнаружена атака на брешь в системе безопасности 94.230.208.148:35314 192.168.1.50:3389 TCP RDP/Exploit.CVE-2019-0708 C:\Windows\System32\svchost.exe NT AUTHORITY\NETWORK SERVICE
=============
судя по описанию эксплойта RDP/Exploit.CVE-2019-0708 используется уязвимость сервиса RDP по названием BlueKeep
https://chklst.ru/discussion/1634/pochemu-uyazvimost-bluekeep-imeet-bolshoe-znachenie
Вы можете погуглить на эту тему и найти больше информации в сети.
Важно как можно скорее закрыть эту уязвимость, иначе атаки в ближайшем будущем повторятся.
https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708

+
этот файл проверьте на Virustotal.com и дайте ссылку в вашем сообщении.
судя по образу автозапуска фал свежий. возможно был использован для взлома сервера.

====quote====
Полное имя C:\USERS\АДМИНИСТРАТОР.WIN-A5OAATSPEMK\DESKTOP\LEGION-SSH-CRACKER.EXE
Имя файла LEGION-SSH-CRACKER.EXE
Тек. статус [Запускался неявно или вручную]

www.virustotal.com Хэш НЕ найден на сервере.

Сохраненная информация на момент создания образа
Статус [Запускался неявно или вручную]
File_Id B01EB2128000
Linker 48.0
Размер 13312 байт
Создан 03.07.2019 в 22:09:04
Изменен 04.07.2019 в 01:26:04

EntryPoint -
OS Version 0.0
Subsystem Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Оригинальное имя legion-ssh-cracker.exe
Версия файла 1.0.0.0
Описание legion-ssh-cracker
Производитель
Комментарий

Доп. информация на момент обновления списка
SHA1 C5C8EAF9CDC7FA26A57C6F0A4CE54637C516E583
MD5 88583F78D4DBDF237ADF829326869443

=============
в папке (Filecoder.7z) среди удаленных с рабочего стола, скорее всего эти два файла судя по размерам:
422912 байт
C:\USERS\АДМИНИСТРАТОР.WIN-A5OAATSPEMK\DESKTOP\RENCI.SSHNET.DLL
и
13312 байт
C:\USERS\АДМИНИСТРАТОР.WIN-A5OAATSPEMK\DESKTOP\LEGION-SSH-CRACKER.EXE
второй архив не открывается
felicoder.7z
уточните пароль
05.07.2019 15:40:19, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15372/message106891/ http://forum.esetnod32.ru/messages/forum35/topic15372/message106891/ Fri, 05 Jul 2019 15:40:19 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .limbo файлы зашифрованы с расширением .limbo Zeropadypt NextGen / Ouroboros в форуме Шифровальщики файлов и подбор дешифраторов.
Приветствую. Вот файлы: автозапуска, что нашёл в удалённых по кодеру. Так как сейчас на сервере ограничение в 1мб по передаче, смогу остальное скинуть, как локально буду у сервера и запущу всё с портативной винды. Файлы шифровальщика на рабочем столе есть. Они ли только. Требуют за расшифровку не менее 150usd
Read-Me-Now.txt
felicoder.7z
1C-NEW_2019-07-05_11-15-20_v4.1.6.7z
Filecoder.7z
файлы шифрованые и оригиналы.zip
ESETSysVulnCheck_out.zip
efsw_logs.zip
05.07.2019 11:37:48, Булычев Максим.]]> http://forum.esetnod32.ru/messages/forum35/topic15372/message106890/ http://forum.esetnod32.ru/messages/forum35/topic15372/message106890/ Fri, 05 Jul 2019 11:37:48 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .limbo файлы зашифрованы с расширением .limbo Zeropadypt NextGen / Ouroboros в форуме Шифровальщики файлов и подбор дешифраторов.
МАксим,
добавьте в ваше сообщение пару зашифрованных файлов и записку о выкупе.
+
добавьте образ автозапуска системы, где произошло шифрование
+
если сохранился файл шифратора, загрузите файл для анализа на
https://www.hybrid-analysis.com/
и разрешите доступ к файлу
05.07.2019 03:22:14, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15372/message106888/ http://forum.esetnod32.ru/messages/forum35/topic15372/message106888/ Fri, 05 Jul 2019 03:22:14 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .limbo файлы зашифрованы с расширением .limbo Zeropadypt NextGen / Ouroboros в форуме Шифровальщики файлов и подбор дешифраторов.
Может уже кто-то сталкивался с таким бедствием, как данный шифровальщик. ESET File Security в упор не видит. Положил сервер 1С со службами, бэкапами, затёр точки восстановления и теневые тома. Все файлы, где поработал шифровальщик, имеют расширение .limbo. На саппорт уже написал. Образцы и выгрузки выслал.

e-mail: legion.developers72@gmail.com
04.07.2019 22:05:34, Булычев Максим.]]> http://forum.esetnod32.ru/messages/forum35/topic15372/message106886/ http://forum.esetnod32.ru/messages/forum35/topic15372/message106886/ Thu, 04 Jul 2019 22:05:34 +0300 Шифровальщики файлов и подбор дешифраторов