не определен Ransomware PAY_IN_MAXIM_24_HOURS

[Andrey Ramazanov]

Добрый день!

 

Столкнулись с аналогичным случаем как и данной теме: https://forum.kasperskyclub.ru/index.php?showtopic=59383 

 

Были зашифрованы документы на файловом хранилище, подключенном к серверу, в каждой папке следующий файл:

 

YOUR SYSTEM IS LOCKED AND ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

DON'T WORRY YOUR FILES ARE SAFE.

TO RETURN ALL TO NORMALLY YOU MUST BUY THE CERBER DECRYPTOR PROGRAM.

PAYMENTS ARE ACCEPTED ONLY THROUGH THE BITCOIN NETWORK.

YOU CAN GET THEM VIA ATM MACHINE OR ONLINE 

https://coinatmradar.com/  (find a ATM)

https://www.localbitcoins.com/ (buy instantly online any country)

THE PRICE FOR DECRYPTOR SOFTWARE IS 0.8 BTC

BTC ADRESS : 3KxEZKjS4ifAHhX2o1fq9tERkAshSgA4hg (where you need to make the payment)

VERRY IMPORTANT !

DO NOT TRY TO SCAN WITH ANTIVIRUS YOU RISK LOSING YOUR DATA .

ANTIVIRUSES ONLY DESTROY THE ENCRYPTED DATA , THEY DO NOT KNOW THE ALGORITH WITH WICH THE ENTIRE SYSTEM WAS ENCRYPTED.

THE ONLY WAY TO DECRYPT YOUR SYSTEM AND RETURN TO NORMAL IS TO BUY THE ORIGINAL DECRYPTOR SOFTWARE.

For more information : repair_data@scryptmail.com   (24/7)

Subject : SYSTEM-LOCKED-ID: 10191895

 

Запустили сначала утилиту Farbar Recovery Scan Tool, логи в приложении.

После запуска Kaspersky Virus Removal Tool были найдены 4 вируса (фото в приложении), для их удаления понадобилась перезагрузка, после которой сервер перестал загружаться (судя по всему, повреждена файловая система и MBR). Логи Kaspersky Virus Removal Tool пока восстановить не удалось, восстанавливаем системные файлы с жестких дисков....

 

Можете ли вы чем-то помочь только по сэмплу файла и логам Farbar Recovery Scan Tool?

 

Заранее спасибо!

Archive.zip

[thyrex]

Отвечу вечером. На всякий случай прикрепите в архиве образец зашифрованного doc или docx файла

[Andrey Ramazanov]

Спасибо, сейчас замаплю сторэйдж на другой сервер и пришлю. В архиве пока только образец xls файла.

Высылаю пример doc и pdf файлов.

archive.zip

[thyrex]

Прикрепите к следующему сообщению и файл от вымогателей HOW TO DECRYPT FILES.txt

 

Проверьте ЛС

[Andrey Ramazanov]

Огромное спасибо! Все расшифовали. Прикрепляю запрошенный файл от вымогателей.

HOW TO DECRYPT FILES.txt

[thyrex]

Система запустилась? Если да, то сделайте логи по правилам.