Форум esetnod32.ru [тема: Файлы зашифрованы с расширением .FISTING; .likeoldboobs; .Washedback; .Gachimuchi; .Horsefucker; .crxxx; .nigra; .x101]

Форум esetnod32.ru [тема: Файлы зашифрованы с расширением .FISTING; .likeoldboobs; .Washedback; .Gachimuchi; .Horsefucker; .crxxx; .nigra; .x101] http://forum.esetnod32.ru Новое в теме Файлы зашифрованы с расширением .FISTING; .likeoldboobs; .Washedback; .Gachimuchi; .Horsefucker; .crxxx; .nigra; .x101 форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Thu, 16 Apr 2026 04:55:19 +0300 Файлы зашифрованы с расширением .FISTING; .likeoldboobs; .Washedback; .Gachimuchi; .Horsefucker; .crxxx; .nigra; .x101 Файлы зашифрованы с расширением .FISTING; .likeoldboobs; .Washedback; .Gachimuchi; .Horsefucker; .crxxx; .nigra; .x101 Win32/Filecoder.NSF/SojusZ в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Алексей Долгов написал:
Добрый день! В июле 2022 года столкнулись с этой же проблемой, шифрование файлов по типу .[Dungeon Masters].FISTING
Было ли найдено какое-либо решение?
Жива ли эта ветка форума?
=============
Нет, к сожалению решения по расшифровке Win32/Filecoder.NSF/SojusZ на текущий момент нет.
08.02.2023 14:39:57, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic16836/message115368/ http://forum.esetnod32.ru/messages/forum35/topic16836/message115368/ Wed, 08 Feb 2023 14:39:57 +0300 Шифровальщики файлов и подбор дешифраторов Файлы зашифрованы с расширением .FISTING; .likeoldboobs; .Washedback; .Gachimuchi; .Horsefucker; .crxxx; .nigra; .x101 Файлы зашифрованы с расширением .FISTING; .likeoldboobs; .Washedback; .Gachimuchi; .Horsefucker; .crxxx; .nigra; .x101 Win32/Filecoder.NSF/SojusZ в форуме Шифровальщики файлов и подбор дешифраторов.
Добрый день! В июле 2022 года столкнулись с этой же проблемой, шифрование файлов по типу .[Dungeon Masters].FISTING
Было ли найдено какое-либо решение?
Жива ли эта ветка форума?
08.02.2023 12:05:33, Алексей Долгов.]]> http://forum.esetnod32.ru/messages/forum35/topic16836/message115365/ http://forum.esetnod32.ru/messages/forum35/topic16836/message115365/ Wed, 08 Feb 2023 12:05:33 +0300 Шифровальщики файлов и подбор дешифраторов Файлы зашифрованы с расширением .FISTING; .likeoldboobs; .Washedback; .Gachimuchi; .Horsefucker; .crxxx; .nigra; .x101 Файлы зашифрованы с расширением .FISTING; .likeoldboobs; .Washedback; .Gachimuchi; .Horsefucker; .crxxx; .nigra; .x101 Win32/Filecoder.NSF/SojusZ в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Max V написал:
есть ли смысл её выкладывать здесь с целью попытки реализации дешифратора, или она ничего не даст?
=============
Пришлите, пожалуйста, файл шифровальщика в почту safety@chklst.ru, в архиве, с паролем infected, с шифрованием имен файлов.

Если необходим анализ ПК, который предположительно был атакован из внешней сети, сделайте пожалуйста на этом устройстве лог ESETSysVulnCheck:

====quote====
Для дополнительного анализа, сделайте пожалуйста лог ESETSysVulnCheck

"SysVulnCheck_out.zip" (лог, созданный в программе ESETSysVulbCheck)

Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
https://ftp.eset.sk/samples/svchecker/ESETSysVulnCheck.exe

и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.

=============

Если Вы являетесь пользователем ESET, Вы можете создать обращение в техническую подддержку support@esetnod32.ru и предоставить следующие файлы для анализа:
https://forum.esetnod32.ru/forum35/topic16689/
18.07.2022 14:33:14, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic16836/message114266/ http://forum.esetnod32.ru/messages/forum35/topic16836/message114266/ Mon, 18 Jul 2022 14:33:14 +0300 Шифровальщики файлов и подбор дешифраторов Файлы зашифрованы с расширением .FISTING; .likeoldboobs; .Washedback; .Gachimuchi; .Horsefucker; .crxxx; .nigra; .x101 Файлы зашифрованы с расширением .FISTING; .likeoldboobs; .Washedback; .Gachimuchi; .Horsefucker; .crxxx; .nigra; .x101 Win32/Filecoder.NSF/SojusZ в форуме Шифровальщики файлов и подбор дешифраторов.
Здравствуйте, Произошла атака с шифрованием по типу ***.[***].[Dungeon Masters].FISTING. На одном компьютере осталась программа-шифратор (попробовали её запустить на виртуальной машине и она действительно всё шифрует), есть ли смысл её выкладывать здесь с целью попытки реализации дешифратора, или она ничего не даст?
18.07.2022 13:42:05, Max V.]]> http://forum.esetnod32.ru/messages/forum35/topic16836/message114265/ http://forum.esetnod32.ru/messages/forum35/topic16836/message114265/ Mon, 18 Jul 2022 13:42:05 +0300 Шифровальщики файлов и подбор дешифраторов Файлы зашифрованы с расширением .FISTING; .likeoldboobs; .Washedback; .Gachimuchi; .Horsefucker; .crxxx; .nigra; .x101 Файлы зашифрованы с расширением .FISTING; .likeoldboobs; .Washedback; .Gachimuchi; .Horsefucker; .crxxx; .nigra; .x101 Win32/Filecoder.NSF/SojusZ в форуме Шифровальщики файлов и подбор дешифраторов.
из подозрительного:
sep=,
Datetime,Service name,Type,File name,Start type,Account
13.07.2022 00:29:22,KProcessHacker3,драйвер режима ядра,C:\Program Files\Process Hacker\kprocesshacker.sys,Вручную,
sep=,
Datetime,Source,Event description
13.07.2022 00:26:10.147,TS - Rmt Conn. Man,"""администратор"" is connecting from IP 26.202.49.230."
sep=,
Datetime,Source,Event description
13.07.2022 00:26:51.609,TS - Lcl Session Man,"""Администратор"" logged in from IP 26.202.49.230."
sep=,
Datetime,Source,Event description
13.07.2022 00:28:39.705,Non-MS Apps,"Application ""WinRAR 5.71 (64-bit)"" was installed."
sep=,
Datetime,Source,Event description
13.07.2022 00:29:21.091,Non-MS Apps,"Application ""Process Hacker"" was installed."
sep=,
Datetime,Source,Event description
13.07.2022 00:29:22.410,Created Services,"Service ""KProcessHacker3"" (драйвер режима ядра) was installed. File Name: ""C:\Program Files\Process Hacker\kprocesshacker.sys"". Start Type: Вручную. Account: n/a"
------------------------
Пользователь должен включить контроль учетных записей (UAC).

Включен уязвимый протокол SMBv1. Чтобы отключить его, проверьте «Как удалить SMBv1» по адресу:
https://docs.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3#how-to-remove-smbv1

Продукт безопасности ESET не найден.

Аудит событий входа, вероятно, частично (или полностью) отключен.
Чтобы включить его, запустите secpol.msc и в разделе «Локальные политики» -> «Политика аудита» -> «Аудит событий входа» отметьте «Успех» и «Сбой».

Обнаружен инструмент, который мог быть использован хакерами для удаления или отключения ESET:
- Process Hacker (установлен 13.07.2022 00:29:21)

Отсутствуют следующие критические исправления:
- CVE-2021-34527, кодовое название «PrintNightmare» (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-34527)

Мы рекомендуем:
- регулярное резервное копирование важных данных для предотвращения потери данных
- ужесточение RDP путем: включение RDP только для подключений из внутренней сети и использование VPN для подключений извне, использование 2FA, политика блокировки, предоставление доступа по RDP только тем пользователям, которым это действительно необходимо
- использование надежного пароля пользователями с доступом по RDP
- установка пароля для защиты настроек ESET и предотвращения их отключения или удаления посторонними лицами (см. https://support.eset.com/kb6783/)
- включение системы ESET LiveGrid Feedback
- включение обнаружения потенциально небезопасных приложений (см. https://support.eset.com/kb6795/)
14.07.2022 16:13:15, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic16836/message114246/ http://forum.esetnod32.ru/messages/forum35/topic16836/message114246/ Thu, 14 Jul 2022 16:13:15 +0300 Шифровальщики файлов и подбор дешифраторов Файлы зашифрованы с расширением .FISTING; .likeoldboobs; .Washedback; .Gachimuchi; .Horsefucker; .crxxx; .nigra; .x101 Файлы зашифрованы с расширением .FISTING; .likeoldboobs; .Washedback; .Gachimuchi; .Horsefucker; .crxxx; .nigra; .x101 Win32/Filecoder.NSF/SojusZ в форуме Шифровальщики файлов и подбор дешифраторов.
Лог ESETSysVulnCheck
https://mega.nz/file/e9gUTQTI#toM12-rGuXizaD_o1Kqp-I35BxE_bGzYVPHa868b4hA
14.07.2022 14:21:46, Александр Гордеев.]]> http://forum.esetnod32.ru/messages/forum35/topic16836/message114245/ http://forum.esetnod32.ru/messages/forum35/topic16836/message114245/ Thu, 14 Jul 2022 14:21:46 +0300 Шифровальщики файлов и подбор дешифраторов Файлы зашифрованы с расширением .FISTING; .likeoldboobs; .Washedback; .Gachimuchi; .Horsefucker; .crxxx; .nigra; .x101 Файлы зашифрованы с расширением .FISTING; .likeoldboobs; .Washedback; .Gachimuchi; .Horsefucker; .crxxx; .nigra; .x101 Win32/Filecoder.NSF/SojusZ в форуме Шифровальщики файлов и подбор дешифраторов.
Спасибо за обращение.
Судя по формату зашифрованного файла "monteryn.ttf.[3eec70e412].[Dungeon Masters].FISTING" - это Sojusz
https://id-ransomware.blogspot.com/2022/02/sojusz-ransomware.html

В последнее время активен, и известны несколько вариантов:
af.zip.[89f625ffde].[BillyHerrington].Gachimuchi
HardwareEvents.evtx.[724e4bcb11].[spanielearslook].likeoldboobs
есть и другие.

Для дополнительного анализа, сделайте пожалуйста лог ESETSysVulnCheck

"SysVulnCheck_out.zip" (лог, созданный в программе ESETSysVulbCheck)

Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
https://ftp.eset.sk/samples/svchecker/ESETSysVulnCheck.exe

и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.

Так же при наличие лицензии на продукт ESET Вы можете обратиться в техническую поддержку support@esetnod32.ru
Файлы и логи, которые необходимы для обращения в ТП
https://forum.esetnod32.ru/forum35/topic16689/
14.07.2022 12:52:14, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic16836/message114244/ http://forum.esetnod32.ru/messages/forum35/topic16836/message114244/ Thu, 14 Jul 2022 12:52:14 +0300 Шифровальщики файлов и подбор дешифраторов Файлы зашифрованы с расширением .FISTING; .likeoldboobs; .Washedback; .Gachimuchi; .Horsefucker; .crxxx; .nigra; .x101 Файлы зашифрованы с расширением .FISTING; .likeoldboobs; .Washedback; .Gachimuchi; .Horsefucker; .crxxx; .nigra; .x101 Win32/Filecoder.NSF/SojusZ в форуме Шифровальщики файлов и подбор дешифраторов.
Всем доброго дня, словил шифровальщика, в интернете очень мало информации по нему, впервые упоминания датируются начало июня 2022.
Есть предположения что это Cryakl.
Взлом был по RDP - 100%
Прилагаю файлы до и после шифрования.
https://mega.nz/file/j0IXSQYC#mh4SPmRNFkSIX2qBExyIy-t8tE-VM1rBJw6NVYvuFHc

ELC_Logs
https://mega.nz/file/jgpngTab#B69BwGXfYKHKXKStZAKZ5oRfdO36cJkjin-eiCgpwJ4

Понимаю что скорее всего расшифровать нет возможности, но хотелось бы узнать что это за чудо и какой версии.

Содержание письма

Скрытый текст
ALL YOUR DOCUMENTS PHOTOS DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED! ==================================================================================================== Your files are NOT damaged! Your files are modified only. This modification is reversible. The only 1 way to decrypt your files is to receive the private key and decryption program. Any attempts to restore your files with the third party software will be fatal for your files! ==================================================================================================== To receive the private key and decryption program follow the instructions below: 1. Write to our skype - Dungeon Masters Decryption Also you can write ICQ live chat which works 24/7 @DUNGEONMASTERS Install ICQ software on your PC https://icq.com/windows/ or on your mobile phone search in Appstore / Google market ICQ Write to our ICQ @DUNGEONMASTERS https://м/icq.im/DUNGEONMASTERS 2. Our company values its reputation. We give all guarantees of your files decryption,such as test decryption some of them We respect your time and waiting for respond from your side tell your MachineID: 345132855D and LaunchID: 3eec70e412 ====================================================================================================

Скрытый текст

14.07.2022 11:38:52, Александр Гордеев.]]> http://forum.esetnod32.ru/messages/forum35/topic16836/message114243/ http://forum.esetnod32.ru/messages/forum35/topic16836/message114243/ Thu, 14 Jul 2022 11:38:52 +0300 Шифровальщики файлов и подбор дешифраторов