VoidCrypt Ransomware
Aliases: Void, Chaos
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA-2048, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальные названия: Void, Chaos, но в записке не указано. На файле написано: void или что-то еще. Использует библиотеку Crypto++.
Обнаружения:
DrWeb -> Trojan.Siggen9.36699, Trojan.Encoder.31534ALYac -> Trojan.Ransom.Filecoder
ALYac -> Trojan.Ransom.Filecoder, Trojan.Ransom.Ouroboros
Avast/AVG ->Win32:RansomX-gen [Ransom]
Avira (no cloud) ->TR/FileCoder.zdeun
BitDefender -> Gen:Heur.Ransom.Imps.1, DeepScan:Generic.Ransom.AmnesiaE.*
ESET-NOD32 -> A Variant Of Win32/Filecoder.Ouroboros.E
Malwarebytes -> Ransom.Ouroboros
McAfee -> Ransomware-GYP!BA454585B9F4
Microsoft -> Trojan:Win32/Ashify.J!rfn, Ransom:Win32/Ouroboros.GG!MTB
Rising -> Ransom.Gen!8.DE83 (CLOUD), Ransom.Agent!1.C4E7 (CLOUD)
Symantec -> ML.Attribute.HighConfidence, Downloader
Tencent -> Win32.Trojan.Gen.Pfsv, Win32.Trojan.Gen.Htwa
TrendMicro -> TROJ_GEN.R002H09DB20, Ransom.Win32.OUROBOROS.AE, Ransom.Win32.OUROBOROS.B
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me!
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!
© Генеалогия: Ouroboros ✂ > Void, VoidCrypt
К зашифрованным файлам добавляется расширение: .Void
Фактически используется составное расширение по шаблону:
.[<email_ramsom>][ID-<ID{15}>].Void
Примеры зашифрованных файлов:
file001.tif.[USDATAdecrypt@gmail.com][ID-PDTN4Z29J67Q***].Void
file001.doc.[xtredboy@protonmail.com][ID-EJHPFWKYCNQ5***].Void
file001.jpg.[stevenxx134@gmail.com][ID-9WFL61BO03TSIC7].Void
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на начало апреля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пострадавшие из России, Польши и других стран.
Записка с требованием выкупа называется: Decryption-Info.HTA
Содержание записки о выкупе:
Your Files has Been Encrypted
Your Files Has Been Encrypted with AES + RSA Algorithm
If You Need Your Files You Have To Pay Decryption Price
You can Send Some Little Files Less Than 1MB for Test (The Test Files Should not Contain valuable Data Like Databases Large Excel Sheets or Backups
After 48 Hour Decryption Price Will be Doubled so You Better Contact us Before Times Up
Using Recovery Tools or 3rd Party Application May cause Damage To Your Files And increase price
The Steps You Should Do To Get Your Files Back:
1- Contact Email on Files And Send ID on The Files Then Do agreement on a Price
2- Send Some Files for Decryption Test ( Dont Pay to Anyone Else who is Not Able to Decrypt Your Test Files!)
After Geting Test Files Pay The price in Bitcoin And Get Decryption Tool + RSA key
Your Case ID :EJHPFWKYCNQ5***
Our Email : xtredboy@protonmail.com
In Case Of No Answer : Encryptedxtredboy@protonmail.com
Перевод записки на русский язык:
Ваши файлы были зашифрованы
Ваши файлы были зашифрованы с алгоритмом AES + RSA
Если вам нужны ваши файлы, вы должны оплатить стоимость расшифровки
Вы можете отправить несколько маленьких файлов менее 1 МБ для теста (тест-файлы не должны содержать ценные данные, такие как базы данных, большие листы Excel или резервные копии)
После 48 часов цена расшифровки удвоится, так что вам лучше связаться с нами, прежде чем время выйдет
Использование инструментов восстановления или сторонних приложений может привести к повреждению ваших файлов и повышению цены
Шаги, которые вы должны сделать, чтобы вернуть ваши файлы:
1- Контакт по email на файлы и отправить ID на файлы, а затем сделать соглашение о цене
2. Отправьте несколько файлов для тест-расшифровки (не платите никому, кто не может расшифровать ваши тест-файлы!)
После получения тест-файлов заплатите цену в биткойнах и получите инструмент дешифрования + ключ RSA
ID вашего дела: EJHPFWKYCNQ5***
Наш email: xtredboy@protonmail.com
В случае отсутствия ответа: Encryptedxtredboy@protonmail.com
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Использует легитимные утилиты Everything и Process Hacker 2.
➤ Согласно отчетам Intezer Analyze есть определенное родство с другими проектами программ-вымогателей, например, с Ouroboros.
➤ Оригинальный дешифровщик без закрытого RSA ключа бесполезен.
➤ Используется RSA-2048, потому взломать ключ не получится. Вредонос отправляет ключ на свой сервер, если пострадавшие фиксировали сетевой трафик во время заражения, то ключ может быть перехвачен. Если трафик не фиксировался, то закрытый ключ RSA не получить.
➤ Скриншоты кода:
➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, запускает команды по сети, завершает работу серверных служб, управляющих база данных, отключает файервол и прочее:
stevenxx134@gmail.com.exe
cmd.exe %WINDIR%\system32\cmd.exe /c net stop SQLWriter
net.exe net stop SQLWriter (PID: 3708)
net1.exe %WINDIR%\system32\net1 stop SQLWriter
cmd.exe %WINDIR%\system32\cmd.exe /c net stop SQLBrowser
net.exe net stop SQLBrowser
net1.exe %WINDIR%\system32\net1 stop SQLBrowser
cmd.exe %WINDIR%\system32\cmd.exe /c net stop MSSQLSERVER
net.exe net stop MSSQLSERVER
net1.exe %WINDIR%\system32\net1 stop MSSQLSERVER
cmd.exe %WINDIR%\system32\cmd.exe /c net stop MSSQL$CONTOSO1
net.exe net stop MSSQL$CONTOSO1
net1.exe %WINDIR%\system32\net1 stop MSSQL$CONTOSO1
cmd.exe %WINDIR%\system32\cmd.exe /c net stop MSDTC
net.exe net stop MSDTC
net1.exe %WINDIR%\system32\net1 stop MSDTC
cmd.exe %WINDIR%\system32\cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures
cmd.exe %WINDIR%\system32\cmd.exe /c bcdedit /set {default} recoveryenabled no
cmd.exe %WINDIR%\system32\cmd.exe /c wbadmin delete catalog -quiet
cmd.exe %WINDIR%\system32\cmd.exe /c net stop SQLSERVERAGENT
net.exe net stop SQLSERVERAGENT
net1.exe %WINDIR%\system32\net1 stop SQLSERVERAGENT
cmd.exe %WINDIR%\system32\cmd.exe /c net stop MSSQLSERVER
net.exe net stop MSSQLSERVER
net1.exe %WINDIR%\system32\net1 stop MSSQLSERVER
cmd.exe %WINDIR%\system32\cmd.exe /c net stop vds
net.exe net stop vds
net1.exe %WINDIR%\system32\net1 stop vds
cmd.exe %WINDIR%\system32\cmd.exe /c netsh advfirewall set currentprofile state off
netsh.exe netsh advfirewall set currentprofile state off
cmd.exe %WINDIR%\system32\cmd.exe /c netsh firewall set opmode mode=disable
netsh.exe netsh firewall set opmode mode=disable
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
Decryption-Info.HTA - название файла с требованием выкупа
IDo.txt
pubkey.txt
<random>.exe - случайное название вредоносного файла
stevenxx134@gmail.com.exe - файл из примера, представленного в анализе.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\ProgramData\IDo.txt
C:\ProgramData\pubkey.txt
D:\yo\chaos\Release\chaos.pdb
Использует сервисы определения IP-адресов:
xxxx://www.sfml-dev.org/ip-provider.php
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email-1: xtredboy@protonmail.com, Encryptedxtredboy@protonmail.com
Email-2: USDATAdecrypt@gmail.com
Email-3: stevenxx134@gmail.com
Email-4: steven77xx@mail.ru, Steven77xx@protonmail.com
URL изображения замка (VT-проверка): xxxxs://i.ibb.co/2PXVhhm/1.png
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >> VT>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
🔻 Triage analysiss >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ДЕШИФРОВЩИК === DECRYPTOR/DECODER ===
Если файлы очень нужны, рекомендуем попытаться договориться с вымогателями о снижении суммы выкупа.
Если никто не отвечает с email-адресов, указанного в записке с требованием выкупа, отправьте им еще одно письмо.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Zeropadypt Ransomware - с апреля 2019
Ouroboros Ransomware (разные версии) - июнь-октябрь 2019
Ouroboros Ransomware v6 - октябрь-декабрь 2019
Ouroboros Ransomware v7 - с января 2020
VoidCrypt (Void, Chaos) Ransomware - с апреля 2020
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 10-11 апреля 2020:
Расширение: .Void
Пример составного расширения: .[DECRPToffice@gmail.com][ID-YOP64ULC0ZNK2BH].Void
Email: DECRPToffice@gmail.com, DECRPT@tutanota.com
Специальные файлы: IDo.txt, pubkey.txt
Файл EXE: DECRPToffice@gmail.com.exe
Результаты анализов: VT + HA + IA + AR
Обновление от 14 апреля 2020:
Пост на форуме >>
Расширение: .void
Записка: Decryption-Info.HTA
Email: SupportVoid@elude.in, SoporteVoid@tutanota.com
Обновление от 27 апреля 2020:
Записка: Decryption-Info.HTA
Email: unl0ckerpkx@tutanota.com
Обновление от 2 мая 2020:
Пост в Твиттере >>
Записка: Decryption-Info.HTA
Email: BrillianceBK@protonmail.com
LizardBkup@protonmail.com
Обновление от 5 мая 2020:
Пост на форуме >>
Расширение: .Void
Пример составного расширения: .[Elmershawn@aol.com][ID-YPRVMKTQ3ABOHUC].Void
Elmershawn@aol.com
Записка: Decryption-Info.HTA
Email: Elmershawn@aol.com
Обновление от 1-11 июня 2020:
Расширение: .Void
Пример составного расширения: .[decoderma@tutanota.com][ID-VKSQ8N24CPZTU1O].VoidЗаписка: Decryption-Info.HTA
Email: decoderma@tutanota.com, decoderma@protonmail.com
Специальные файлы: IDo.txt, pubkey.txt
Файл EXE: decoderma@tutanota.com.exe
Результаты анализов: VT + HA + IA + AR + TG
Your Files has Been Encrypted
Your Files Has Been Encrypted with AES + RSA Algorithm
If You Need Your Files You Have To Pay Decryption Price
You can Send Some Little Files Less Than 1MB for Test (The Test Files Should not Contain valuable Data Like Databases Large Excel Sheets or Backups
After 48 Hour Decryption Price Will be Doubled so You Better Contact us Before Times Up
Using Recovery Tools or 3rd Party Application May cause Damage To Your Files And increase price
The Steps You Should Do To Get Your Files Back:
1- Contact Email on Files And Send ID on The Files Then Do agreement on a Price
2- Send Some Files for Decryption Test ( Dont Pay to Anyone Else who is Not Able to Decrypt Your Test Files!)
After Geting Test Files Pay The price in Bitcoin And Get Decryption Tool + RSA key
Your Case ID :N0GXF7YZ31L4***
Our Email : decoderma@tutanota.com
In Case Of No Answer : decoderma@protonmail.com
Обновление от 7 июля 2020:
Пост в Твиттере >>
Расширение: .Void
Пример составного расширения: .[coronavirus19@tutanota.com][ID-<id>].Void
Записка: Decryption-Info.HTA
Email: coronavirus19@tutanota.com, ghostmax@cock.li
Результаты анализов: VT + HA + IA
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter: myTweet ID Ransomware (ID as VoidCrypt) Write-up, Topic of Support *
Thanks: Andrew Ivanov (author), Michael Gillespie *** *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
hi everyone ! есть exe'шник вируса. может кто помочь с поиском дешифровальщика ?
ОтветитьУдалитьПоместите в архив с паролем "infected" и загрузите на https://dropmefiles.com
УдалитьПередайте полученную ссылку здесь же. Она не появится без модерации, так мы безопасно получим файл.
вот https://dropmefiles.com/X96bK
УдалитьОК. Забрал. Спасибо.
УдалитьПусть ссылка пока будет активна.
УдалитьДобрый день. Нужна помощь. Ситуация аналогичная.
Удалитьвот ссылка https://dropmefiles.com/QKolO
Там файл шифровальщик и один из зашифрованных файлов.
Можете помочь?
Привет всем!
ОтветитьУдалитьу меня весь комьютер заражен. можно ли какнибуть спасти иформацию :((((
HELP :(
См. выше раздел "Технические детали" со слов "Используется RSA-2048" ...
УдалитьВсем Привет.
ОтветитьУдалитьВот exe файл с вирусом
https://dropmefiles.com/yKnyW
архив с паролем "infected"
Буду благодарен за любую помощь
Привет еще раз, списался с вымогателями со почти voidcrypthelp@gmail.com, ответили с адреса decrpt@tutanota.com. Договорились о цене, оплатил им, а в ответ ни декриптора ни денег обратно. Кому интересно могу предоставить переписку. Платить в надежде что расшифрую файлы, бесполезно
ОтветитьУдалитьНужно подождать и написать на оба адреса. Технакладки случаются везде. Если не ответят через несколько дней, присылайте переписку, скриншоты.
УдалитьRSA-ключ тоже не прислали?
УдалитьСуть в том что я переписываюсь, мне отвечают, договорились о цене, перед оплатой мне все подтвердили, мол да все ок платите, после оплаты сказали мол передумали, доплачивайте и мы Вам вышлем ключ. Естественно деньги не возвращают, как в таком случае можно им доверять, где уверенность что опять не кинут. Кому прислать переписку, могу даже оплату прислать, это все видно...
Удалитьpls send your case id here i will check and if you paid i will send you decryption key and ban that user from service
УдалитьRSA-ключ тоже не прислали...
ОтветитьУдалитьПереписку отправил Вам на почту, если не верите
I do not recommend paying void ransomware or voidcrypt.
ОтветитьУдалитьMy files was encrypted by void ransomware.
After the conversation we had a deal. I've paid the price after agreement about the possibility of the payment, but they wrote that they was changed the idea and I need to pay the same price one more time. They don't give my money back and don't want to decryption my files. I can show all letters with them. His contact email DECRPToffice@gmail.com but i received answer from decrpt@tutanota.com
Новый случай. Екатеринбург. Требуют 2000 долларов.
ОтветитьУдалитьниже текст письма:
Your files have been locked by our team . . You will have to pay $ 2,000 to reopen your files . . You have 48 hours to pay the requested amount. . . .If you do not pay during this period, your files will be locked forever . . Our account in Blockchain: 194Bhb2JsFo56uXtHJXcKL6Nnb2g9mreYf
If you agree with the terms of the previous email ... The file you sent for testing is shortcut Send another file to decrypt
Разрешение файла:
.[encryptc4@elude.in][ID-KCLUBDSYPV6J9XW].Void
Платить смысла не вижу. Шифровали, видимо, самостоятельно.
Сеть простраивал другой айтишник. Имеем: фаил с данными учетной записи администратора сервера находился в общей папке (доступ на чтение-запись), далее на сервере была создана учетная запись "1 1." с логином входа в домене "123" - было несколько сообщении о том, что "123" пытается подключиться к удаленному рабочему столу, бла бла бла сбросить подключение? ок и отмена. Клиента перезагрузил комп. Под своей учеткой войти не мог, отключили WiFi вошли под локальным Администратором. На серевере отключили "1 1.", удалили учетку. на "ПК-жертве" файлы были зашифрованны. Папка пользователя "123" есть - в ней на рабочем столе файлы "encryptc4@elude.in" - винрар архив, "Moh.exe", "5-NS.exe" и "desktop.ini" - эти файлы, также, были зашифрованны. архив - поврежден и не открывается (повторюсь, файлы были зашифрованны - я просто удалил приставку ".[encryptc4@elude.in][ID-KCLUBDSYPV6J9XW].Void". В итоге имеем шифратор, но тоже зашифрованный. Платить никто не будет.
Требуют удвоить оплату
ОтветитьУдалитьПеред оплатой получил подтверждение что платите мы Вам все вышлем, после оплаты мол доплатите еще столько же и мы Вам выглем. В итоге ни денег ни ключа
ОтветитьУдалитьunknown
ОтветитьУдалитьwe already asked your id to give your key 3 days ago but you didnt answered
you didnt checked your email!!!
as for
step
i need the id to check if the payment is done or not
Это файл Decryptor.
ОтветитьУдалитьLink : https://ufile.io/sdeeeqp4
РАБОЧИЙ КЛЮЧ, который фирме в итоге обошёлся в шестизначную сумму
ОтветитьУдалить------------RSA-KEY-----------
MIIEvAIBADANBgkqhkiG9w0BAQEFAASCBKYwggSiAgEAAoIBAQDR0z43WH28Nr6a7P7fxr4z
dHc9157srn2UzVgKE8RL6hx/3T+Jp+8L/La+yDoiKLkqLJdW2Ap/qMQkl6w6dKKxy1cDtgXU
X2a79DZli2c74ZePJdzMHCeB41PdMjn9t+GQ9bWrbDkepNbaDCbZjE43VrPXpF2ZefZ0maKM
t5+DpizxSIpPfilwcAgJfOkuY6tb0ugnpZJBtPbVKhh6vzErCfCUn9pAq9QoAq5t4GYckyk2
GfPFCl/o0HGkX6FywG+E4a2quSVXLdn+ZE2P1UFEmEAp38+f3At8x2ebBeEf7RMXuRYJ4ovY
cj/+19JMW58hl9j1gFYCL4BIJZUgko7LAgERAoIBAFyR5r4Qc7Tq+bzR9/lQJrxZB24bXLO2
ZJR4teZUA8cjhQs79mJgrTn+jNuysDw/JIOMJKZQQN33odPoj79vsTBSLesMihnt2oAY6tJy
NRLjhqEJLLRmxiK3HXgsvzs6iSldV62CkaujE35Qp7pUfNwtx9ATzvDi+8oHi3pRApv1sE0x
ZXpAYFSxVlIOCmxKLgetifJilbl8xosFhZqhfuWy5XIDxpIk7dUE3s7d7WiD2o96bUcnFeTg
ytEFJIgnQMTTsQfc0Cd9wrR1iSpvvqO7jWIKYDuO5Z3OJTZjeLSrc3KyrDrwXLAyJ7OhpNqp
ap7X6OfIld65qBbw01Jwuz0CgYEA2RI1Hn8GoXfpWnBy2fWjetj6TI0zf1TAOScYrrAj0Yoz
+W4fUsc6zv3r23z0uzCElmqF9G5sy+5QrX5JKFSkO3hfN8VwJkjWonKGSseoTkHr1vl/Buk2
o0UfMMcYrldgyasmSCwuQ/NWWb1rkbBIeJAKs58vu44y1/o57IHLKWcCgYEA93RfMHcYz8EW
2N8MXf8G+2BgUdtwe0iElT/AoVsLLu2Eu9/NTenqHUc+/Ar0od0F1pdtbgqrYlob1kxPFT7U
S+f39bFUfJKxoFk5/xKnIMK/BpZrZg2DpAUqSOEt3OrDZeAO4RPXuhF3A7tTMVcbrFy00SbO
Na5X1ffJyZ+lvP0CgYBmJq+V4WyIOG3QNOrA7BCyR/1RM2OHNvEL1im7ni75MfpXQuGQXcFS
WV/u0WQb2pi/QS/6jlFQ6J5vwvVAJ9TQsR2/5HEC9Rm124p9iyIGtZwo7eFsqfuYIIcmA1bo
oZb1fbepfjPjvc5IWSOP2nx0+H2BtFKynUUaV6LJpn25IQKBgQDaV59I4Y5c9aq/W2VD4QYp
GM11Z0UhfDi/7PVDFBjtK+2WtmnbVeywbApl64yO0hQ10OgVzS3PQHLqQ1TWgrtSCOnYyaTm
Y1FvXcnC8lc7BjAU3xN4Kgq95nCaqJHhC2Edp5SoeuuGD2kDSu8NavpMykUxBB9cisX5B9Aq
X7BbdQKBgQCLV6UB0UxAzb0sE4A3EUGZrreSufHaaiVasa+W1CcIVB3ijtR29TYy4yMw+Pdf
3pAl/rklJUq6yfQbBDgW3m5WYURkI7+4uglvhGeHKfCRRbLjkccJi6pos+zZTd9PmhfJLbYI
JeCRr4WS2TM4RjZ/wwYCPHDG2TP1Y4ubp80eQQ==
-------------------------------
email: unl0ckerpkx@tutanota.com
-------------------------------
Id: ID-X2HDJZFSLM0TAO1
-------------------------------
А вдруг кому-то еще поможет...
тоже взломали. есть 100% решение проблемы? или все из архивов восстанавливать
ОтветитьУдалитьБез RSA-ключей, которые есть у вымогателей, дешифровать не получится.
Удалитьони очень много просят. 2000$. как бы космос для меня. как с ними поторговаться? и какой % что не кинут.
Удалить100$ даже много, согласен, но никакой гарантии не дадут. Просите уменьшить цену, но и тогда не факт, что не потребуют всю сумму после части расшифрованных файлов.
ОтветитьУдалитьДень добрый всем!
ОтветитьУдалитьСтолкнулся с этой заразой, есть рабочие решения как победить эту беду?
амиго а вы можете помочь? есть exe.
ОтветитьУдалитьЭто не в моих силах. Вам лучше сразу в DrWeb с этим файлом и зашифрованными.
Удалитьhttps://legal.drweb.ru/encoder/?lng=ru
vot i menya poimali,
ОтветитьУдалитьUSDATAdecrypt@gmail.com
platit' nebubu.
добрый день всем потерпевшим.
ОтветитьУдалитьвот как это случилось у меня.
как раз закончилась лицензия касперского. оставлял комп включенным , чтобы работать по удаленке. 12 мая прийдя на работу комп работал, но заметил
не давал открыть диспетчер задач, сразу понял что что-то творится не ладное, отключил от сети , проверил на изменения, во первых появился новый пользователь Foobar, отключились политики запрет диспетчера задач, затем в настройках папки встала галочка на непоказывать системные и скрытые папки(хотя я ее убирал), следующий шаг - все диски которые были в системе , даже которые без буквы , стали отображаться в проводнике как сетевые подключенные диски, далеее короче видимо стали шифроваться файлы, но я успел перезагрузить в безопасный режим и запустить утилиту курит дрвеб, но оказалось что почти все диски зашифровалгад, исключение последние два и то только папки которые не были скрыты.
Так кто нашел дескриптор или дешифратор , поделитесь пожалуйста на ahms@mail.ru
Оригинальный дешифровщик без закрытого RSA ключа бесполезен. Для шифрования используется алгоритм RSA-2048, потому взломать ключ не получится. Вредонос отправляет ключ на свой сервер, если пострадавшие фиксировали сетевой трафик во время заражения, то ключ может быть перехвачен. Если трафик не фиксировался, то закрытый ключ RSA не получить. Чужой ключ для файлов также не поможет, данные непостоянные.
УдалитьЗашифровали данные. Попробовал связаться и заплатить и меня кинули. НЕ ВЗДУМАЙТЕ ПЛАТИТЬ.... Это развод чистой воды. !!!!
ОтветитьУдалитьКто то платил им? Прислали данные для расшифровки?
ОтветитьУдалитьбеда столкнулся с этим, помогите
ОтветитьУдалитьБеда взломали доступ к серверу и закинули эту заразу помогите решить с расшифровкой?
ОтветитьУдалитьЭтой ночью тоже по RDP сервер ломанули...
ОтветитьУдалитьСудя по всему дешифровальщик пока так и не нашли.
Подхватили эту заразу, странно что после формата пользовальских машин с них продолжается подозрительная сетевая активность, службы lsas svhost ломяться на сервера(20-50 попыток в минуту) касперский тотал секурити на заражённых машинах убивает драйвера сетевой карты и юсб, в среднем после установки чистой системы пк начинает ломиться к сервакам через пол часа через всех пользователей, проверка касперским endpoint secure, total secure, avast, norton, comodo.
ОтветитьУдалитьДобрый день!Также по RDP вчера все слегло, и сервер 1с и все документы, что делать?
ОтветитьУдалитьДешифровальщик имеется ли у кого?
Прочтите сообщения выше. Там есть ответы на все вопросы.
Удалить