Jump to content

Ransomware Non identifié du genre Sodinokibi

Recommended Posts

Bonjour, le 22 juin, je me suis fait attaqué par un ransomware, Il a crypté tous les fichiers de toutes mes partitions/disques, (sauf Windows et programmes).
Je pense qu’il est passé par « l’accès bureau distant » de Windows 10, ouvert sur mon pc.

Voici quelques informations
Ajout d'extension et cryptage :


Tous les fichiers, tous les disques/partitions: Images,Vidéos,Txt,Log,mp3,etc..


Ajout d'un fichier r8b756g899-readme.txt dans tous les dossiers

Fichiers détectés par Kaspersky Rescue Tool 18 :

%Users%/Documents/ST/x64/mimikatz.gen : HEUR:Trojan-PSW.win64.Mimikatz.gen

%Users%/Documents/ST/svhost.exe              : HEUR:Trojan.Win32.Generic

%Users%/Documents/ST/sNS.exe                   : not-a-virus:NetTool.win32.Scan.qj


Fond d'écran Windows10 modifié.


Fichier r8b756g899-readme.txt

---=== Welcome. Again. ===---


[+] Whats Happen? [+]


Your files are encrypted, and currently unavailable. You can check it: all files on you computer has expansion r8b756g899.

By the way, everything is possible to recover (restore), but you need to follow our instructions. Otherwise, you cant return your data (NEVER).


[+] What guarantees? [+]


Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will not cooperate with us. Its not in our interests.

To check the ability of returning files, You should go to our website. There you can decrypt one file for free. That is our guarantee.

If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key. In practise - time is much more valuable than money.


[+] How to get access on website? [+]


You have two ways:


1) [Recommended] Using a TOR browser!

  a) Download and install TOR browser from this site: https://torproject.org/

  b) Open our website: http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/096928D49A205BB0


2) If TOR blocked in your country, try to use VPN! But you can use our secondary website. For this:

  a) Open your any browser (Chrome, Firefox, Opera, IE, Edge)

  b) Open our secondary website: http://decryptor.top/096928D49A205BB0


Warning: secondary website can be blocked, thats why first variant much better and more available.


When you open our website, put the following data in the input form:

































Extension name:






!!! DANGER !!!

DONT try to change files by yourself, DONT use any third party software for restoring your data or antivirus solutions - its may entail damge of the private key and, as result, The Loss all data.

!!! !!! !!!

ONE MORE TIME: Its in your interests to get your files back. From our side, we (the best specialists) make everything for restoring, but please should not interfere.

!!! !!! !!!

Fin du fichier r8b756g899-readme.txt

Avez-vous une solution de décryptage ?

Afin de vous aider à lutter contre ces attaques, je suis à votre disposition, si vous avez besoin de fichiers, copies d’écrans ou autres informations.



Link to comment
Share on other sites

1 hour ago, Chris70 said:

Comment savoir quel ransomware  ?

For proper identification, you need to upload a note r8b756g899-readme.txt and one encrypted file. Sodinokibi is identified by a number of known signs. 

Attach files here or upload to service ID Ransomware.

Link to comment
Share on other sites

Je confirme. C'est bien Sodinokibi!
Mais une variante, je n'ai pas de fichier Sodinokibi.exe.
Voici ce que j'ai trouvé, création d'un dossier:  \ Utilisateurs \ Chris \ Documents \ ST \
Contenu :

\ST\ X64\r8b756g899-readme.txt

Si cela peut vous aider, j'ai tous les fichiers, j'ai rajouté une extension  " .VIRUS "à tous les dossiers et fichiers.
Je peux vous envoyer un dossier contenant le dossier ST. Voulez-vous?


Link to comment
Share on other sites

Oui, vous pouvez maintenant voir que vos fichiers sont cryptés avec Sodinokibi Ransomware. Mon identification est vérifiée.
Yes, now you can see that your files are encrypted with Sodinokibi Ransomware. My identification is verified. 

Link to comment
Share on other sites

This topic is now closed to further replies.

  • Recently Browsing   0 members

    • No registered users viewing this page.
  • Create New...