Сотрудник словил шифровальщик email-drakosha_new@aol.com.ver-CL 1.3.1.0.id-@@@@@248F-138C.random

[Kabana 0]

Добрый вечер.

 

Сотрудник словил шифровальщик. Из лога реестра Windows были скачан и запущен файл drakoshanew.exe.

Зашифровались файлы 1С и прочие.

Название зашифрованного файла, к примеру: email-drakosha_new@aol.com.ver-CL 1.3.1.0.id-@@@@@248F-138C.randomname-MQSTVVWXYZAAABCDEEFFGHIJJKKLMN.NOP.qqr

Шифровальшик удалил с компьютера nod32.

Я из автозагрузки убрал Windows Defender, так как мне показалось это подозрительным, перезагрузил компьютер и шифрование фалов прекратилось.

В папках с фалами формируются 3 файла:

email-drakosha_new@aol.com.ver-CL 1.3.1.0.i.......

email-drakosha_new@aol.com.ver-CL 1.3.1.0.i.......

README.txt

 

В README.txt написано:

for decrypt files write you country to drakosha_new@aol.com

 

Отправил на указанную почту письмо, получил ответ:

"Здравствуйте, расшифровать файлы стоит 40 000руб.

 

Drakosha New
drakosha_new@aol.co.uk"

Во вложении приложил зашифрованный файл и вроде как его оригинал (из 1С).

 

Есть возможность расшифровать?

 

С уважением,

Сергей.

 

CollectionLog-2017.02.25-22.25.zip

Пример зашифрованного и чистого файла.rar

[thyrex 1 468]

Увы, расшифровка невозможна.

 

Все оставленные злодеем многочисленные файлы README.txt можно удалить