четверг, 20 октября 2016 г.

RotorCrypt

RotorCrypt (RotoCrypt) Ransomware

Tar Ransomware

(шифровальщик-вымогатель) 

Translation into English


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


   Этот крипто-вымогатель шифрует данные пользователей и серверов организаций с помощью RSA, а затем требует связаться с вымоагтелями по email, чтобы вернуть файлы. За возвращение файлов в нормальное состояние вымогатели требуют выкуп в 7 биткоинов, 2000-5000 долларов или евро. Аппетит обнаглевших от безнаказанности вымогателей растёт не по дням, а по часам. 

Обнаружения: 
Dr.Web -> Trojan.Encoder.5342, Trojan.Encoder.29037
BitDefender -> Gen:Variant.Razy.109164, Gen:Variant.Ransom.RotorCrypt.1, Trojan.Ransom.RotorCrypt.A, Trojan.GenericKD.12470370, Gen:Variant.Ransom.RotorCrypt.2
Kaspersky -> Trojan-Ransom.Win32.Rotor.*, HEUR:Trojan.Win32.Generic

© Генеалогия: Gomasom > RotorCrypt


RotorCrypt Ransomware
Изображение не принадлежит шифровальщику

К зашифрованным файлам добавляются составные расширения по шаблону:

<file_name>.<file_extension><ransom_extension>

На данный момент это расширения .c400, .c300 на конце файла и email вымогателей перед ними
!___ELIZABETH7@PROTONMAIL.COM____.c400
!_____LIKBEZ77777@GMAIL.COM____.c400
!_____GEKSOGEN911@GMAIL.COM____.c300

Таким образом файл Document.doc после шифрования станет:

Document.doc!____ELIZABETH7@PROTONMAIL.COM____.c400  
Document.doc!_____LIKBEZ77777@GMAIL.COM____.c400
Document.doc!_____GEKSOGEN911@GMAIL.COM____.c300

Активность этого крипто-вымогателя пришлась на конец октября - ноябрь 2016 г., но продолжилась и в 2017-2019 годах с другими расширениями (см. внизу "Блок обновлений"). 

Записки с требованием выкупа называются: 
readme.txt или ***readme.txt

Содержание записки о выкупе (из версии Tar):
Good day
Your files were encrypted/locked
As evidence can decrypt file 1 to 3 1-30MB
The price of the transcripts of all the files on the server: 7 Bitcoin
Recommend to solve the problem quickly and not to delay
Also give advice on how to protect Your server against threats from the network
(Files sql mdf backup decryption strictly after payment)!

Перевод записки на русский язык:
Добрый день
Ваши файлы зашифрованы / заблокированы
Как доказательство можем расшифровать файл 1 до 3 1-30MB
Стоимость расшифровки всех файлов на сервере: 7 Bitcoin
Рекомендуем решить эту проблему быстро и без задержки
Кроме того, дадим советы о том, как защитить свой сервер от угроз из сети
(Файлы sql mdf backup дешифруем только после оплаты)!

Email вымогателей: 
ELIZABETH7@PROTONMAIL.COM
LIKBEZ77777@GMAIL.COM
GEKSOGEN911@GMAIL.COM
и другие (см. внизу в обновлениях)


Технические детали 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
vssadmin.exe delete shadows /all /Quiet
bcdedit.exe /set {current} bootstatuspolicy ignoreallfailures
bcdedit.exe /set {current} recoveryenabled no


Список файловых расширений, подвергающихся шифрованию:

.1cd, .avi, .bak, .bmp, .cf, .cfu, .csv, .db, .dbf, .djvu, .doc, .docx, .dt, .elf, .epf, .erf, .exe, .flv, .geo, .gif, .grs, .jpeg, .jpg, .lgf, .lgp, .log, .mb, .mdb, .mdf, .mxl, .net, .odt, .pdf, .png, .pps, .ppt, .pptm, .pptx, .psd, .px, .rar, .raw, .st, .sql, .tif, .txt, .vob, .vrp, .xls, .xlsb, .xlsx, .xml, .zip (53 расширения). 

Расширений может быть больше, в основном это файлы документов MS Office, изображения, архивы, базы данных, в том числе российского ПО 1C-Бухгалтерия, а также R-Keeper, Sbis и пр. Шифрованию подвержены общие сетевые ресурсы (диски, папки). 

Файлы, связанные с RotorCrypt Ransomware:
iuy.exe
<random_name_8_chars>.exe
<random_name_8_chars>___.exe
DNALWmjW.exe и другие
GWWABPFL_Unpack.EXE
<random_name_8_chars>.lnk
jHlxJqfV.lnk и другие

Расположения: 
%TEMP%\<random_name_8_chars>.exe
C:\Users\User_name\AppData\local\<random_name_8_chars>.exe
C:\Users\User_name\Desktop\<random_name_8_chars>.exe
C:\GWWABPFL_Unpack.EXE
%LOCALAPPDATA%\Microsoft Help\DNALWmjW.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\jHlxJqfV.lnk

Записи реестра, связанные с RotorCrypt Ransomware:
См. ниже гибридные анализы. 

Результаты анализов по версиям:

Гибридный анализ на Tar >>
Гибридный анализ для ELIZABETH >> 
Гибридный анализ для LIKBEZ >>
Гибридный анализ на GEKSOGEN >>
VirusTotal анализ на Tar >>
VirusTotal анализ для ELIZABETH >>
VirusTotal анализ для LIKBEZ >>
VirusTotal анализ на GEKSOGEN >>


Степень распространённости: средняя.
Подробные сведения собираются.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Предыстория 1:
На переходном периоде от Gomasom до Tar и RotorCrypt, и параллельно с их ранними версиями, использовались другие составные расширения "roto" и "crypt", от которых, собственно, и произошло название шифровальщика RotorCrypt, через обнаружение Trojan-Ransom.Win32.Rotor, используемое в продуктах ЛК. 
Время распространения: от июня 2015 до января 2016, с продолжением до октября 2016. 

Шаблон расширений: 
<file_name>.<file_extension><ransom_extension>

Список расширений (List of extensions): 
.-.DIRECTORAT1C8@GMAIL.COM.roto
.-.DIRECTORAT1C@GMAIL.COM.roto
.-.directorat1c@gmail.com.roto
.-.CRYPTSb@GMAIL.COM.roto
!-==kronstar21@gmail.com=--.crypt
!==helpsend369@gmail.com==.crypt
!__crypthelp12@gmail.com_.crypt
!___prosschiff@gmail.com_.crypt
!____moskali1993@mail.ru___.crypt
!______sufnex331@gmail.com______.crypt
!______bigromintol971@gmail.com______.crypt
!_______GASWAGEN123@GMAIL.COM____.crypt
!_________pkigxdaq@bk.ru_______.crypt
!______________DESKRYPTEDN81@GMAIL.COM.crypt

Для некоторых из них, возможно и для всех, была выпущена утилита дешифровки RakhniDecryptor. 
Официальная ссылка >>

Предыстория 2: Tar Ransomware
Ранняя версия Tar добавляла к зашифрованным файлам расширение .tar или ___tar
Распространение Tar пришлось на вторую половину сентября - октябрь-ноябрь 2016. 
Сообщения на форуме BC

Расширения того времени:
!____GLOK9200@GMAIL.COM____.tar
!____cocoslim98@gmail.com____.tar
Результаты анализов: HA+VT

Обновление от 22 сентября 2016:
Расширение: !_____ELIZABETH7@PROTONMAIL.COM____.tar
Результаты анализов: VT

Обновление от 10 ноября 2016:
Email: GEKSOGEN911@GMAIL.COM
Расширение по шаблону: 
!_____GEKSOGEN911@GMAIL.COM____.c300

Обновление от 2 декабря 2016:

Email: DILINGER7900@GMAIL.COM
Расширение по шаблону: 
!_____DILINGER7900@GMAIL.COM_____.GRANIT

Обновление от 16 декабря 2016:
Расширение: !__recoverynow@india.com__.v8
См. статью V8Locker Ransomware 

Обновление от 26 декабря 2016:

Email: hamil8642@gmail.com
Расширение по шаблону: 
!____hamil8642@gmail.com___.GRANIT


=== 2017 ===

Обновление от 20 марта 2017:
Расширение: !===contact by email=== tokico767@gmail.com.adamant
Email: tokico767@gmail.com.adamant
Пример темы >>
Описание этого варианта у Dr.Web >>
Результаты анализов: HA+VT

Обновление: апрель 2017:

Email: edgar4000@protonmail.com
Пример темы >>
Расширение по шаблону: 
edgar4000@protonmail.com____.granit
Email: edgar4000@protonmail.com

Обновление от 5 июня 2017:

Расширение: ________DILIGATMAIL@tutanota.com________.pgp
Ссылка на топик >>

Обновление от 18 июня - 15 августа 2017:

Пост в Твиттере >>
Расширение по шаблону: 
!______DILIGATMAIL7@tutanota.com______.OTR
Email: diligatmail7@tutanota.com
Результаты анализов: HA+VT

Обновление от 23 августа 2017:
Расширение по шаблону:  
!______PIFAGORMAIL@tutanota.com______.SPG
Email: PIFAGORMAIL@tutanota.com
Примеры зашифрованных файлов: 
Анкета.docx!______PIFAGORMAIL@tutanota.com______.SPG
Resume.docx!______PIFAGORMAIL@tutanota.com______.SPG

Обновление от 12 сентября 2017:

Расширение по шаблону: _______PIFAGORMAIL@tutanota.com_____.rar
Email: PIFAGORMAIL@tutanota.com

Обновление от 20 сентября 2017:

Пост в Твиттере >>
Расширение по шаблону: !_____INKASATOR@TUTAMAIL.COM____.ANTIDOT
Email: INKASATOR@TUTAMAIL.COM
Результаты анализов: VT

Обновление от 13-20 сентября 2017:

Пост в Твиттере >> + Пост в Твиттере >> 
Расширение по шаблону: !-=solve a problem=-=grandums@gmail.com=-.PRIVAT66
Email: grandums@gmail.com
Результаты анализов: VT

Обновление от 20 сентября 2017:
Пост в Твиттере >>
Расширение по шаблону: !==solve a problem==stritinge@gmail.com===.SENRUS17
Email: stritinge@gmail.com
Сумма выкупа: 1 BTC
Результаты анализов: VT

Обновление от 10 октября 2017:

Пост в Твиттере >>
Расширение по шаблону: !_____FIDEL4000@TUTAMAIL.COM______.biz
Email: FIDEL4000@TUTAMAIL.COM
Результаты анализов: VT

Обновление от 17 октября 2017:
Пост в Твиттере >>
Файлы: dead rdp.exe, RarYBiHI.exe
Расширение: !____________DESKRYPT@TUTAMAIL.COM________.rar
Email: DESKRYPT@TUTAMAIL.COM
Результаты анализов: VT

Обновление от 27 ноября 2017:
🎥 Video review
Пост в Твиттере  + Tweet >>
Расширение: !____________ENIGMAPRO@TUTAMAIL.COM_______.PGP
Email: ENIGMAPRO@TUTAMAIL.COM 
Записка: info.txt
Файлы: <random8>.exe
Результаты анализов: VT + HA
 Скриншоты записки и файлов >>


Обновление от 25 декабря 2017: 
Расширение: !___________ANCABLCITADEL@TUTAMAIL.COM__________.PGP
Email: ANCABLCITADEL@TUTAMAIL.COM
Файл: <random>.exe
Результаты анализов: VT


=== 2018 ===

Обновление от 25 января 2018:
Пост в Твиттере >>
Расширение: !==SOLUTION OF THE PROBLEM==blacknord@tutanota.com==.Black_OFFserve!
Email: blacknord@tutanota.com
Результаты анализов: VT 

Обновление от 9 февраля 2018:
Пост в Твиттере >>
Расширение: !decrfile@tutanota.com.crypo
Email: decrfile@tutanota.com
Результаты анализов: VT


Обновление от 5 марта 2018:
Пост в Твиттере >>
Расширение с пробелами: ! ,--, Revert Access ,--,  starbax@tutanota.com  ,--,.BlockBax_v3.2
Email: starbax@tutanota.com
Результаты анализов: VT

Обновление от 21 мая 2018:
Пост в Твиттере  >>
Расширение: !________INKOGNITO8000@TUTAMAIL.COM_________.SPG
Email: INKOGNITO8000@TUTAMAIL.COM
Результаты анализов: VT


Обновление от 03 июня 2018:
Пост на форуме >>
Расширение: !_______INKOGNITO7000@TUTAMAIL.COM_______.SPG
Email: INKOGNITO7000@TUTAMAIL.COM

Обновление от 11 июня 2018:
Пост в Твиттере >>
Расширение: !@#$%______PANAMA1@TUTAMAIL.com_____%$#@.mail
Email: PANAMA1@TUTAMAIL.com
Результаты анализов: VT


Обновление от 14 июня 2018:
Пост в Твиттере >>
Расширение: !@!@!@_contact mail___boroznsalyuda@gmail.com___!@!@.psd
Email: boroznsalyuda@gmail.com
Файл: WbshKnkR.exe
Результаты анализов: VT
RotorCrypt Ransomware
Так выглядят зашифрованные файлы

Обновление от 14 июня 2018:
Пост в Твиттере >>
Пост в Твиттере >>
Видеообзор от CyberSecurity GrujaRS >>
Расширение: !@#$_____ISKANDER@TUTAMAIL.COM_____$#@!.RAR
Скриншот с зашифрованными файлами
Email: ISKANDER@TUTAMAIL.COM
Записка: INFO.txt
Содержание записки: 
Для связи с нами используйте почту
ISKANDER@TUTAMAIL.COM
Результаты анализов: VT
RotorCrypt Ransomware
Так выглядят зашифрованные файлы

Обновление от 24 июня 2018:
Расширение: !@#$_____INKASATOR1@TUTAMAIL.COM_____$#@!.RAR
Email: INKASATOR1@TUTAMAIL.COM
Топик на форуме >>


Обновление от 25 июня 2018:
Пост в Твиттере >>
Зашифрованные файлы без расширения.
Email: patagonoa92@tutanota.com
Записка: Help.txt
➤ Содержание записки:
help mail
PATAGONIA92@TUTANOTA.COM
Результаты анализов: VT


Обновление от 9 июля 2018:
Пост в Твиттере >>
Расширение: !@$#-unlock-email______zepro190@gmail.com______#$!...ES_HELPs
Email: zepro190@gmail.com
Результаты анализов: VT
Так выглядят зашифрованные файлы


Обновление от 19 июля 2018:
Расширение: !@#$%______PANAMA1@TUTAMAIL.com_____%$#@.mail
Email: PANAMA1@TUTAMAIL.com
Топик на форуме >>


Обновление от 21 августа 2018:
Пост в Твиттере >>
Расширение: 
!@#$_(decryp in the EMail)____nautilus369alarm@gmail.com____$#@..AlfaBlock
Email: nautilus369alarm@gmail.com
Результаты анализов: VT


Обновление от 10 октября 2018:
Пост в Твиттере >>
Расширение: !@#$%^&-()_+.1C
Записка: INFO.txt
Email: inkognitoman@tutamail.com, inkognitoman@firemail.cc
➤ Содержание записки:
Для связи с нами используйте почту
inkognitoman@tutamail.com
inkognitoman@firemail.cc
Результаты анализов: VT + HA + AR

Обновление от 11 декабря 2018:
Расширение: !@#$%^&-().1-C
Email: PREDSEDATEL@TUTAMAIL.COM
➤ Содержание записки:
Для связи с нами используйте почту

PREDSEDATEL@TUTAMAIL.COM


=== 2019 ===

Обновление от 4 февраля 2019:
Пост в Твиттере >>
Расширение: !ymayka-email@yahoo.com.cryptotes
Записка: readme.txt
Результаты анализов: VT


Обновление от 1 марта 2019:
Пост в Твиттере >>
Расширение: !_!email__ prusa@goat.si __!..PAYMAN
Записка: open_payman.txt
Email: prusa@goat.si, prusa@tutanota.de
Результаты анализов: VT
➤ Содержание записки:
КАК ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ ИНСТРУКЦИЯ
Внимание!!!
Мы действительно сожалеем сообщить вам, что все ваши файлы были зашифрованы
нашим автоматическим программным обеспечением. Это стало возможным из-за плохой безопасности сервера.
Внимание!!!
Пожалуйста не потревожьтесь, мы смогите помочь вам восстановить ваш сервер к оригиналу государство и расшифровать все ваши файлы, быстро и безопасно!
Информация!!!
Файлы не сломаны!!!
Файлы были зашифрованы с помощью алгоритмов шифрования AES-128+RSA-2048.
Невозможно расшифровать файлы без уникального ключа дешифрования и специального программного обеспечения. Ваш уникальный ключ расшифровки хранится на нашем сервере. Для нашей безопасности вся информация о вашем сервере и ключе для расшифровки будет автоматически удалена через 7 дней! Вы безвозвратно потеряете все свои данные!
* Обратите внимание, что все попытки восстановить файлы самостоятельно или с помощью сторонних инструментов приведет только к безвозвратной потере ваших данных!
* Обратите внимание, что восстановить файлы можно только с помощью уникального ключа расшифровки, который хранится на нашей стороне. Если вы будете пользоваться помощью третьих лиц, то добавите только посредника.
КАК ВОССТАНОВИТЬ ФАЙЛЫ???
Пожалуйста, напишите нам на e-mail (пишите на английском или используйте профессионального переводчика):айлы можно только с помощью уникального ключа расшифровки, который хранится на нашей стороне.
1 email:  prusa@goat.si (Response time within 24 hours)
2 email: prusa@tutanota.de (replacement mail in the event that no reply in 24 hours by email 1)
---
HOW TO RECOVER YOUR FILES INSTRUCTION
ATENTION!!!
We are realy sorry to inform you that  ALL YOUR FILES WERE ENCRYPTED
by our automatic software. It became possible because of bad server security.  
ATENTION!!!
Please don't worry, we can help you to RESTORE your server to original
state and decrypt all your files quickly and safely!
INFORMATION!!!
Files are not broken!!!
Files were encrypted with AES-128+RSA-2048 crypto algorithms.
There is no way to decrypt your files without unique decryption key and special software. Your unique decryption key is securely stored on our server. For our safety, all information about your server and your decryption key will be automaticaly DELETED AFTER 7 DAYS! You will irrevocably lose all your data!
* Please note that all the attempts to recover your files by yourself or using third party tools will result only in irrevocable loss of your data!
* Please note that you can recover files only with your unique decryption key, which stored on our side. If you will use the help of third parties, you will only add a middleman.
HOW TO RECOVER FILES???
Please write us to the e-mail (write on English or use professional translator):
1 email:  prusa@goat.si (Response time within 24 hours)
2 email: prusa@tutanota.de (replacement mail in the event that no reply in 24 hours by email 1)
You have to send your message on each of our 3 emails due to the fact that the message may not reach their intended recipient for a variety of reasons!
We recommed you to attach 3 encrypted files to your message. We will demonstrate that we can recover your files.
*   Please note that files must not contain any valuable information and their total size must be less than 5Mb.
OUR ADVICE!!!
Please be sure that we will find common languge. We will restore all the data and give you recommedations how to configure the protection of your server.
Recovery time from 30 minutes to 10 hours, including local drives and connected devices.
We will definitely reach an agreement ;) !!!

Обновление от 13 марта 2019:
Пост в Твиттере >>
Расширение: !__help2decode@mail.com__.a800
Записка: recovery.instruction.txt
Email: help2decode@mail.com
➤ Содержание записки:
What happened to your files ?
All of your files were protected by a strong encryption with RSA-2048. More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
What does this mean ?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you can restore them.
CONTACT US BY EMAIL: help2decode@mail.com
Результаты анализов: VT + AR

Обновление от 15 марта 2019:
Пост в Твиттере >>
Расширение: !@#$%^&-().1c
Email: admin1c@airmail.cc, rezerved1c@tuta.io
Записка: INFO.txt
➤ Содержание записки:
для связи с нами используйте почту
admin1c@airmail.cc
rezerved1c@tuta.io
Результаты анализов: VT + AR + IA + HA


Обновление от 18 марта 2019:
Пост в Твиттере >>
Расширение: !!!! prusa@rape.lol !!!.prus
Записка: informprus.txt
Текст записки очень корявый. Содержание, как в тексте от 1 марта 2019. 
Скриншот оригинального текста записки
Показатель безграмотного текста на русском

📌 Текст на русском языке написан так безграмотно и коряво, что вызывает сомнения, что его писали знавшие русский язык. Конечно, это могли сделать и умышленно. 
Email-1: prusa@rape.lol 
Email-2: prusa@tutanota.de
Результаты анализов: VT + AR



Обновление от 31 мая 2019: 
Пост в Твиттере >>
Расширение: !__prontos@cumallover.me__.bak
Email: prontos@cumallover.me
Результаты анализов: VT + VMR


Обновление от 21 июня 2019:
Пост в Твиттере >>
Расширение: !-information-...___ingibitor366@cumallover.me___....RT4BLOCK
Записка: NEWS_INGiBiToR.txt
Email: ingibitor366@cumallover.me
Результаты анализов: VT + HA + VMR





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 ID Ransomware
 Topic on BC
 Topic on KC 

  Thanks: 
  Michael Gillespie
  Andrew Ivanov (author), mike 1, thyrex, GrujaRS
  *
  victims in the topics of support

© Amigo-A (Andrew Ivanov): All blog articles.

18 комментариев:

  1. Пострадал от этого шифровальщика. Вымогатели общаются, но требуют заоблачные деньги.

    ОтветитьУдалить
    Ответы
    1. На рабочем столе у вас было много информации? Ярлыков, файлов?
      Если да, а данный шифровальщик снимает и отправляет вымогателям скриншот рабочего стола, то можно чем-то пожертвовать и сказать вымогателям, что мне нужна только такая-то папка, да и то не все файлы, так они могут снизить цену. Дешифровщика пока нет, т.к. исследователям нужен образец вредоеноса и файлы для изучения.
      Рекомендую создать тему здесь
      http://www.bleepingcomputer.com/forums/f/239/ransomware-help-tech-support/ .
      Можете сослаться на меня Amigo-A. Вам скажут куда загрузить файлы для исследования. Ничего сами не удаляйте.

      Удалить
  2. У нас он зашёл в апреле 2017, почта edgar4000@protonmail.com____.granit. Если интересно могу сбросить

    ОтветитьУдалить
    Ответы
    1. Выложите файл записки о выкупе на www.dropmefiles.com и дайте ссылку на скачивание, если он отличается от прежнего. Можно и сюда весь текст вставить. Exe-файл лучше отправить на https://www.hybrid-analysis.com - ссылку на результат скопировать сюда.

      Удалить
    2. записки о выкупе не было. Но к каждому файлу было добавлено поле с этим мэйлом. Написали им на эту почту - они ответили. Ребята начали с 7 биткоинтов с другим человеком, со мной с 2 биткоинтов. Мы доторговались до 1300 долларов - но ребята слились, правда периодически пописывают мне. Вообщем несерьезные они какие то

      Удалить

  3. От: "EDGAR4000"
    Тема: .Granit
    Копия:


    Добрый день, мы обеспечили безопасность ваших файлов.
    Щас идет массовая экспансия фирм\компаний\предприятий\организаций

    воры подменивают банковские реквизиты, крадут информацию о онлайн банкинге, воруют деньги, продают файлы конкурентам и на биржах информации и еще очень много гадостей которые они делают,
    все зависит от тематики вашего бизнеса и нахождения файлов на вашем сервере

    Мы ваши файлы в своих корысных целях не используем. Наш поинт доносить до компаний всю серьезность сложившейся пагубной обстановки.


    Хакеры добро или зло? ядерное оружие добро или зло?
    если оно служит для обеспечения безопасности государства а не для запугивания то это не зло.
    а хакеры которые делают беззаконие и ищут лишь своей корысти тем самым банкротят бизнес мы - порицаем.
    так что все в нашем мире сугубо относительно. мы спасам бизнес людей

    Поручите вашему новому системному администратору

    Сменить все пароли, ставить сложные пароли
    Сменить порт сервера на более сложный
    Настроить подключение к серверу лишь через VPN т.е через 1 IP

    относитесь к безопасности серьезно, и не принебрегайте ею

    естественно мы берем небольшие деньги но эти деньги не могут сравниться с тем сколько бы у вас могли украсть воры, мы просим сущие копейки за вразумление, не более)
    Цены за востановление варьируются от 2300 евро. более точно сможем съориентировать после того как пришлете маску ип либо полностью IP сервера.
    Доложите информацию руководству для принятия решения.
    по вопросам безопасности консультируем бесплатно!


    От себя гарантируем добросоестность, прозрачность сделки и выполнение всех своих обязательств в полной мере.

    Sent with ProtonMail Secure Email.

    ОтветитьУдалить
  4. EDGAR4000
    1350 край
    Sent with ProtonMail Secure Email.

    ОтветитьУдалить
  5. Словили этот вид:

    Расширение: !@#$_____INKASATOR1@TUTAMAIL.COM_____$#@!.RAR
    Email: INKASATOR1@TUTAMAIL.COM

    Есть решение? Готовы заплатить за декодер! Срочно!

    ОтветитьУдалить
    Ответы
    1. Ответили вам на email.

      Удалить
    2. Добрый день! Тот же вид !@#$_____INKASATOR1@TUTAMAIL.COM_____$#@!.RAR, есть сам вирус, образа диска, зашифрованные файлы и их нешифрованные копии. Можете помочь дополнительной инфой?

      Удалить
    3. Вам лучше обратиться на форумы поддержки Dr.Web, Kaspersky, ESET.
      Они регулярно выпускают дешифраторы или дешифруют файлы в частном (платном) порядке.
      Скажете, что у вас есть всё, что надо.

      Удалить
  6. Тоже зашифровали все базы бухгалтерии, пока не писал имя файла выглядит так:
    Base8Work.rar!@#$_(decryp in the EMail)____nautilus369alarm@gmail.com____$#@.

    ОтветитьУдалить
    Ответы
    1. Спасибо за информацию. Добавил в обновления.

      Удалить
  7. есть хоть какая то возможность расшифровать? nautilus369alarm@gmail.com - также ету гадость бухгалтер споймал

    ОтветитьУдалить
    Ответы
    1. Да, в Dr.Web могут попытаться дешифровать в частном порядке.
      Ссылка: https://legal.drweb.ru/encoder/

      Удалить
    2. Мы так и не нашли решение, хорошо что бы бекап хоть и двух месячной давности.
      Что касается антивирусных компаний. Мы связывались и с касперским и с доктором вебом. Везде получили ответ, что стойкий алгоритм и ключ у злоумышленников. Обе компании предложили писать им примерно раз в один - два месяца. Возможно появится способ расшифровки.

      Так же писали злоумышленникам на почту. Запросили 3000 евро. Начали играть с ними, мол нет таких денег и т.д. Ответили "предлагайте свою цену. мы готовы идти на уступки". В итоге посмеялись и забили.

      Шифровку они объясняют тем, что они помогают выявить уязвимости в безопасности и хотят за это вознаграждение.

      Ну как-то так.

      Удалить
    3. Предложение своей цены - это хороший шанс для кого-то. Например, убрать 1 ноль или снизить до 100 евро, это лучше, чем ничего. Но главная проблема в безопасности - это сама Windows любой версии, да и другие не лучше.

      Удалить
  8. inkognitoman@tutamail.com, inkognitoman@firemail.cc почты русские, да и эта почта использовалась в matrix

    ОтветитьУдалить

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton