Форум esetnod32.ru [тема: файлы зашифрованы с расширением .EXTEN; .CROW; .MEOW; .PUTIN; .KREMLIN; .RUSSIA; LOCK2023; RCHAT; RUBEN; CRUST; met@n; GAZPROM]

Форум esetnod32.ru [тема: файлы зашифрованы с расширением .EXTEN; .CROW; .MEOW; .PUTIN; .KREMLIN; .RUSSIA; LOCK2023; RCHAT; RUBEN; CRUST; met@n; GAZPROM] http://forum.esetnod32.ru Новое в теме файлы зашифрованы с расширением .EXTEN; .CROW; .MEOW; .PUTIN; .KREMLIN; .RUSSIA; LOCK2023; RCHAT; RUBEN; CRUST; met@n; GAZPROM форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Sat, 18 Apr 2026 11:40:42 +0300 файлы зашифрованы с расширением .EXTEN; .CROW; .MEOW; .PUTIN; .KREMLIN; .RUSSIA; LOCK2023; RCHAT; RUBEN; CRUST; met@n; GAZPROM файлы зашифрованы с расширением .EXTEN; .CROW; .MEOW; .PUTIN; .KREMLIN; .RUSSIA; LOCK2023; RCHAT; RUBEN; CRUST; met@n; GAZPROM модифицированный вариант Conti в форуме Шифровальщики файлов и подбор дешифраторов.
Могли проникнуть через RDP если есть возможность для подключения по RDP из внешней сети, сейчас это чаще всего и происходит при атаках шифровальщиков.
а далее, смогли уже из локальной сети атаковать другие устройства.
Сделайте лог SysVulnCheck на устройстве, где было шифрование, и к которому есть доступ из внешней сети.
(можно на нескольких пострадавших устройствах)
03.04.2023 12:34:12, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic17125/message115629/ http://forum.esetnod32.ru/messages/forum35/topic17125/message115629/ Mon, 03 Apr 2023 12:34:12 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .EXTEN; .CROW; .MEOW; .PUTIN; .KREMLIN; .RUSSIA; LOCK2023; RCHAT; RUBEN; CRUST; met@n; GAZPROM файлы зашифрованы с расширением .EXTEN; .CROW; .MEOW; .PUTIN; .KREMLIN; .RUSSIA; LOCK2023; RCHAT; RUBEN; CRUST; met@n; GAZPROM модифицированный вариант Conti в форуме Шифровальщики файлов и подбор дешифраторов.
Выложил файлики. Можете подсказать как вирус мог попасть в сеть? Пишут вроде только через письма распространяется.
33333.zip
03.04.2023 12:23:24, Roman Bulatov.]]> http://forum.esetnod32.ru/messages/forum35/topic17125/message115628/ http://forum.esetnod32.ru/messages/forum35/topic17125/message115628/ Mon, 03 Apr 2023 12:23:24 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .EXTEN; .CROW; .MEOW; .PUTIN; .KREMLIN; .RUSSIA; LOCK2023; RCHAT; RUBEN; CRUST; met@n; GAZPROM файлы зашифрованы с расширением .EXTEN; .CROW; .MEOW; .PUTIN; .KREMLIN; .RUSSIA; LOCK2023; RCHAT; RUBEN; CRUST; met@n; GAZPROM модифицированный вариант Conti в форуме Шифровальщики файлов и подбор дешифраторов.
Добавьте, пожалуйста, несколько зашифрованных файлов и записку о выкупе в архив, загрузите архив в ваше новое сообщение для определения типа шифровальщика.
Если найден исполняемый файл шифратора, добавьте файл в архив с паролем infected, пришлите в почту safety@chklst.ru
---------
судя по файлам, полученным от коллег - это модифицированный Conti, к сожалению, без возможности расшифровки на текущий момент.
https://www.virustotal.com/gui/file/a071c02f6e398173476ad3394f84d02201f6d817ee2fb9199f4e095ba0e2c7d5?nocache=1

Важные зашифрованные файлы+записку о выкупе сохраните на отдельный носитель, возможно в будущем расшифровка станет возможной.

Создайте образ автозапуска в uVS в пострадавшей системе для очистки от возможных тел шифровальщика
https://forum.esetnod32.ru/forum9/topic2687/
+
соберите лог ESETSysVulnCheck для анализа проникновения злоумышленников.
"SysVulnCheck_out.zip" (лог, созданный в программе ESETSysVulbCheck)

Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
https://ftp.eset.sk/samples/svchecker/ESETSysVulnCheck.exe

и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.
03.04.2023 11:31:34, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic17125/message115627/ http://forum.esetnod32.ru/messages/forum35/topic17125/message115627/ Mon, 03 Apr 2023 11:31:34 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .EXTEN; .CROW; .MEOW; .PUTIN; .KREMLIN; .RUSSIA; LOCK2023; RCHAT; RUBEN; CRUST; met@n; GAZPROM файлы зашифрованы с расширением .EXTEN; .CROW; .MEOW; .PUTIN; .KREMLIN; .RUSSIA; LOCK2023; RCHAT; RUBEN; CRUST; met@n; GAZPROM модифицированный вариант Conti в форуме Шифровальщики файлов и подбор дешифраторов.
В общем 2 апреля, поймали шифровальщика, на серверах 2003 и XP есть metan.exe и соответственно после его работы, появились файлы с расширением .met@n. Пробывали утилиты от касперского не помогло. Может кто сталкивался?
03.04.2023 10:05:27, Roman Bulatov.]]> http://forum.esetnod32.ru/messages/forum35/topic17125/message115626/ http://forum.esetnod32.ru/messages/forum35/topic17125/message115626/ Mon, 03 Apr 2023 10:05:27 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .EXTEN; .CROW; .MEOW; .PUTIN; .KREMLIN; .RUSSIA; LOCK2023; RCHAT; RUBEN; CRUST; met@n; GAZPROM файлы зашифрованы с расширением .EXTEN; .CROW; .MEOW; .PUTIN; .KREMLIN; .RUSSIA; LOCK2023; RCHAT; RUBEN; CRUST; met@n; GAZPROM модифицированный вариант Conti в форуме Шифровальщики файлов и подбор дешифраторов.
файлы зашифрованы с расширением *.EXTEN; *.CROW; *.MEOW; *.PUTIN; *.KREMLIN; *.RUSSIA; *.LOCK2023; *.RCHAT; *.RUBEN; *.CRUST; *.met@n; *.GAZPROM
-----------
на текущий момент расшифровка есть по *.PUTIN; *.KREMLIN; *.RUSSIA;
12.02.2023 09:36:39, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic17125/message115403/ http://forum.esetnod32.ru/messages/forum35/topic17125/message115403/ Sun, 12 Feb 2023 09:36:39 +0300 Шифровальщики файлов и подбор дешифраторов