Вымогатели зашифровали диск

User avatar
OtherSide
Уже с Приветом
Posts: 17361
Joined: 01 Mar 2008 15:14

Вымогатели зашифровали диск

Post by OtherSide »

На удаленном сервере зашифровали данные. Отключился сайт, по RDP написали что моя учетка заблокирована. Пока дозванивался что бы комп выключили, все успели зашифровать. Положили вот такое сообщение

::: Greetings :::

*Your data have been Stolen, encrypted and inaccessible
*Your critical information has been downloaded, including databases, financial/developmental, accounting, and strategic documents.
If payment is not made and if we don’t hear anything from you for a while, your data will be leaked on our website on TOR darknet and your competitors can have access to your data, we will also attack your company over and over again in the future.
If you want to decrypt all of your data and return your systems to operative state, you require a decryption tool, we are the only ones who own it, and also, if you want your stolen data will be wiped out from our website, you better contact us at the following email addresses:

Saint@cyberfear.com
Proxima@nerdmail.co
ProximaAnsel@hotmail.com

===============================================================

Little FAQ:
.1.
Q: What's Happened?
A: Your files have been encrypted and now have the "Saint" extension. The file structure has been changed to unreadable format, but you can recover them all with our tool.

.2.
Q: How to recover files?
A: If you wish to decrypt your files, you will need to pay in bitcoins.

.3.
Q: What about guarantees?
A: It's just a business and we don't pursue any political objectives. We absolutely do not care about you and your deals, except getting benefits, money and our reputation are the only things that matters to us. if we do not do our work and liabilities, nobody will cooperate with us which is not in our interests.
Prior to the payment, and to check the ability to return files, you can send us 3 files (under 5MB) of any format that do not include sensitive information. We will decrypt them and send them back to you. That is our guarantee.

.4.
Q: How to contact us?

A: You can write us to our mailbox: Saint@cyberfear.com and Proxima@nerdmail.co

Write this in the email title:

ID: 94F94DE6F198CFC8

BackupEmail if we dont ansewer in 24 Hours: ProximaAnsel@hotmail.com

* Make sure to include the ID in the email subject line, otherwise we won’t answer your emails.

.5.
Q: How will the decryption process proceed after payment?
A: After payment, we will send you our decryption program + detailed instructions for use. With this program, you will be able to decrypt all your encrypted files.
++ Important
If you want the decryption procedure to be effective, DO NOT delete or modify the encrypted files, it will cause issues with the decryption process.

.6.
Q: If I don't want to pay bad people like you?
A: If you will not cooperate with our service, it does not matter to us, But you have to accept its consequences:
• Your data will be sold on our website on TOR darknet and your competitors can have access to your data.
• We know exactly what vulnerabilities exist in your network and will inform other hackers about them.
The money we asked for is nothing compare to all of these damages to your business, so we recommend you to pay the price and secure your business, simple.
If you pay, we will give you tips for your security, so it can’t be hacked in the future.
besides, you will lose your time and data cause we are the only ones that have the private key. In practice - time is much more valuable than money.

.7.
Beware
Any organization or individual who asserts they can decrypt your data without paying us should be avoided. They just deceive you and charge you much more money as a consequence; they all contact us and buy the decryption tool from us.

===============================================================
User avatar
OtherSide
Уже с Приветом
Posts: 17361
Joined: 01 Mar 2008 15:14

Re: Вымогатели зашифровали диск

Post by OtherSide »

Файлы с расширением .saint

ничего не смог найти в интернете по тексту расширения и самом вирусе
User avatar
OtherSide
Уже с Приветом
Posts: 17361
Joined: 01 Mar 2008 15:14

Re: Вымогатели зашифровали диск

Post by OtherSide »

Не знаю как получили доступ. На RDP сложный пароль, просто не подобрать
Ничего из левых источников не ставил
User avatar
OtherSide
Уже с Приветом
Posts: 17361
Joined: 01 Mar 2008 15:14

Re: Вымогатели зашифровали диск

Post by OtherSide »

Порты были открыты только RDP, 80, и 443 (https)
User avatar
IL
Уже с Приветом
Posts: 9533
Joined: 11 Jul 2000 09:01
Location: 28277

Re: Вымогатели зашифровали диск

Post by IL »

Ну тут вариантов два: или добавили вирус, кототый перехватывает управление и показывает просто пугалку на экране или данные действительно зашифрованы. Если последнее, то либо платить либо переустановить систему с потерей данных. Обычное дело. Все важные файлы всё равно на клауде где-нибудь хранятся.
IL
User avatar
IL
Уже с Приветом
Posts: 9533
Joined: 11 Jul 2000 09:01
Location: 28277

Re: Вымогатели зашифровали диск

Post by IL »

И ещё показалось любопытным, что они публикуют имейлы. Когда меня взломали в прошлый раз, то прислали с моего собственного имейла и попросили ответить на него же.
IL
User avatar
OtherSide
Уже с Приветом
Posts: 17361
Joined: 01 Mar 2008 15:14

Re: Вымогатели зашифровали диск

Post by OtherSide »

IL wrote: 12 Jan 2023 15:44 Ну тут вариантов два: или добавили вирус, кототый перехватывает управление и показывает просто пугалку на экране или данные действительно зашифрованы. Если последнее, то либо платить либо переустановить систему с потерей данных. Обычное дело. Все важные файлы всё равно на клауде где-нибудь хранятся.
У меня база 1.5ТБ ни на каком клауде она не хранится и бэкап делал года полтора назад
Влез в переписку просят 4500 судя по орфографии какие то индусы, английский хуже чем у меня.

4500 я конечно платить не буду, последнее время это доход за год

Не понимаю почему вирус не находит и выдержки из шаблона письма
User avatar
OtherSide
Уже с Приветом
Posts: 17361
Joined: 01 Mar 2008 15:14

Re: Вымогатели зашифровали диск

Post by OtherSide »

IL wrote: 12 Jan 2023 16:02 И ещё показалось любопытным, что они публикуют имейлы. Когда меня взломали в прошлый раз, то прислали с моего собственного имейла и попросили ответить на него же.
это как пароль от почты сперли что ли. на hotmail мыло уже заблокировано
User avatar
OtherSide
Уже с Приветом
Posts: 17361
Joined: 01 Mar 2008 15:14

Re: Вымогатели зашифровали диск

Post by OtherSide »

Как взломали варианты есть? Сайт богом забытый 300 заходов в день
User avatar
IL
Уже с Приветом
Posts: 9533
Joined: 11 Jul 2000 09:01
Location: 28277

Re: Вымогатели зашифровали диск

Post by IL »

OtherSide wrote: 12 Jan 2023 16:45
IL wrote: 12 Jan 2023 16:02 И ещё показалось любопытным, что они публикуют имейлы. Когда меня взломали в прошлый раз, то прислали с моего собственного имейла и попросили ответить на него же.
это как пароль от почты сперли что ли. на hotmail мыло уже заблокировано
Да, как-то спёрли. Пароль довольно сложный был. Я платить отказался -- никаких секретов особых там не было. Переустановил, обновил пароли, восстановил данные, что смог, не всё, конечно.
IL
User avatar
IL
Уже с Приветом
Posts: 9533
Joined: 11 Jul 2000 09:01
Location: 28277

Re: Вымогатели зашифровали диск

Post by IL »

OtherSide wrote: 12 Jan 2023 16:46 Как взломали варианты есть? Сайт богом забытый 300 заходов в день
на 90% -- человеческий фактор, фишинг, social engineering
IL
User avatar
katit
Уже с Приветом
Posts: 23960
Joined: 05 Jul 2003 22:34
Location: Брест -> St. Louis, MO

Re: Вымогатели зашифровали диск

Post by katit »

RDP протокол взломан. На сколько я знаю.. VPN надо и желательно с привязкой к айпи.
На будушее - бэкапы, бэкапы и бэкапы. Но их тоже могут зашифровать. Поэтому off-site бэкапы с односторонним доступом на создание файла и с версионностью чтобы вы не забэкапили зашифрованые файлы.
Лучше водки — хуже нет! ©
User avatar
IL
Уже с Приветом
Posts: 9533
Joined: 11 Jul 2000 09:01
Location: 28277

Re: Вымогатели зашифровали диск

Post by IL »

katit wrote: 12 Jan 2023 18:35 off-site бэкапы с односторонним доступом на создание файла
Ну да, а как иначе? Всё должно быть на облаке. Можно ещё двухфакторную идентификацию включить.
IL
User avatar
katit
Уже с Приветом
Posts: 23960
Joined: 05 Jul 2003 22:34
Location: Брест -> St. Louis, MO

Re: Вымогатели зашифровали диск

Post by katit »

IL wrote: 12 Jan 2023 18:57
katit wrote: 12 Jan 2023 18:35 off-site бэкапы с односторонним доступом на создание файла
Ну да, а как иначе? Всё должно быть на облаке. Можно ещё двухфакторную идентификацию включить.
Не обязательно "на облаке". Даже скорее желательно чтоб бэкап был под рукой а облако это как второй бэкап. Когда много данных то восстановить это с облака удовольствие так себе.
Лучше водки — хуже нет! ©
User avatar
OtherSide
Уже с Приветом
Posts: 17361
Joined: 01 Mar 2008 15:14

Re: Вымогатели зашифровали диск

Post by OtherSide »

Там больше терабайта база. Некуда это бэкапитб
null
Уже с Приветом
Posts: 2983
Joined: 09 Jul 2001 09:01

Re: Вымогатели зашифровали диск

Post by null »

[gv][/gv]
OtherSide wrote: 12 Jan 2023 20:20 Там больше терабайта база. Некуда это бэкапитб
фото/видео что-ли?
User avatar
IL
Уже с Приветом
Posts: 9533
Joined: 11 Jul 2000 09:01
Location: 28277

Re: Вымогатели зашифровали диск

Post by IL »

OtherSide wrote: 12 Jan 2023 20:20 Там больше терабайта база. Некуда это бэкапитб
Да ну. Терабайт -- не так уж много. Можно сказать совсем мало.
IL
User avatar
OtherSide
Уже с Приветом
Posts: 17361
Joined: 01 Mar 2008 15:14

Re: Вымогатели зашифровали диск

Post by OtherSide »

IL wrote: 12 Jan 2023 22:07
OtherSide wrote: 12 Jan 2023 20:20 Там больше терабайта база. Некуда это бэкапитб
Да ну. Терабайт -- не так уж много. Можно сказать совсем мало.
На рабочей БД? Ну фиг знает. И куда это сливать? Если на локальный диск, то в этом случае бы точно не помогло
User avatar
IL
Уже с Приветом
Posts: 9533
Joined: 11 Jul 2000 09:01
Location: 28277

Re: Вымогатели зашифровали диск

Post by IL »

OtherSide wrote: 12 Jan 2023 22:21
IL wrote: 12 Jan 2023 22:07
OtherSide wrote: 12 Jan 2023 20:20 Там больше терабайта база. Некуда это бэкапитб
Да ну. Терабайт -- не так уж много. Можно сказать совсем мало.
На рабочей БД? Ну фиг знает. И куда это сливать? Если на локальный диск, то в этом случае бы точно не помогло
У меня несколько инстансес на Амазоне, где-то 5 ТБ...
IL
User avatar
OtherSide
Уже с Приветом
Posts: 17361
Joined: 01 Mar 2008 15:14

Re: Вымогатели зашифровали диск

Post by OtherSide »

И сколько платите в мес?
User avatar
OtherSide
Уже с Приветом
Posts: 17361
Joined: 01 Mar 2008 15:14

Re: Вымогатели зашифровали диск

Post by OtherSide »

У меня БД была на сверхушстром SSD 7Гб/секунду, причем данные с криптобирж поступали нон стоп, для бэкапа надо было бы отсоединять БД и лить куда ? Не приносит оно столько денег, что бы сервера в облаке арендовать.
User avatar
Komissar
Уже с Приветом
Posts: 65198
Joined: 12 Jul 2002 16:38
Location: г.Москва, ул. Б. Лубянка, д.2

Re: Вымогатели зашифровали диск

Post by Komissar »

соединялся с БД по RDP?
User avatar
IL
Уже с Приветом
Posts: 9533
Joined: 11 Jul 2000 09:01
Location: 28277

Re: Вымогатели зашифровали диск

Post by IL »

OtherSide wrote: 12 Jan 2023 22:26 И сколько платите в мес?
У меня просто диск спейс для бекапов, стоит копейки. А БД гонять на их облаке очень дорого, я как-то смотрел расценки, но сейчас не помню.
IL
User avatar
OtherSide
Уже с Приветом
Posts: 17361
Joined: 01 Mar 2008 15:14

Re: Вымогатели зашифровали диск

Post by OtherSide »

Komissar wrote: 13 Jan 2023 02:04 соединялся с БД по RDP?
Я не понял вопроса. Ну сам да менеджил через RDP иногда, через Managment Studio

mdf файл не понятно, в начале кракозябры, а конце выглядит как незашифрован. Может он и в начале не зашифрован. Там зашифрованы ndf файлы, но в них нет никаких данных. Можно ли подключить mdf с потерянными ndf и ldf - может кто знает?
Я пока боюсь что то делать, может там на диске удаленный код вируса и есть еще шанс его восстановить (если он потерся после выполнения)

После тягомотной переписки с вымогателями, которые писали ты уж плати, а мы предоставим лучший сервис в конце концов согласились проверить файл на дешифровку, потом отписались что он недевшифруемые и предложили скидку в 1000$
User avatar
OtherSide
Уже с Приветом
Posts: 17361
Joined: 01 Mar 2008 15:14

Re: Вымогатели зашифровали диск

Post by OtherSide »

IL wrote: 12 Jan 2023 16:57
OtherSide wrote: 12 Jan 2023 16:45
IL wrote: 12 Jan 2023 16:02 И ещё показалось любопытным, что они публикуют имейлы. Когда меня взломали в прошлый раз, то прислали с моего собственного имейла и попросили ответить на него же.
это как пароль от почты сперли что ли. на hotmail мыло уже заблокировано
Да, как-то спёрли. Пароль довольно сложный был. Я платить отказался -- никаких секретов особых там не было. Переустановил, обновил пароли, восстановил данные, что смог, не всё, конечно.
К трояну потом написали таки антивирус или нет? Известный он оказался или неизвестный?

Return to “Вопросы и новости IT”