contistolen-based Шифровальшик TOK12, tokaev123@proton.me, @vilden123

[Вячеслав Говоров]

Перестал работать вход в ОС в обычном режиме. В безопасном режиме входит. 

Обнаружили зашифрованные файлы и записку о выкупе (в приложении)

Кроме текстового файлов с требованием выкупа, было сообщение на скайп:

"ff 16:03
Слушай, тебе компы поломали ( а связи че то не нашли придурки видимо заранее. Тебе восстановить файлы? помочь? 

?

ff 16:11
Необходимость есть?"

Логи, собранные Farbar Recovery Scan Tool, и  архив с зашифрованными файлами и запиской о выкупе - в приложении.

Addition.txt FRST.txt Archive.zip

[thyrex]

C:\Users\Administrator.GEOINFOGRAD\Documents\cryptor.exe заархивируйте с паролем malware123 и прикрепите архив к сообщению

[Вячеслав Говоров]

C:\Users\Administrator.GEOINFOGRAD\Documents\cryptor.exe - архив с паролем malware123 - в приложении

 

 

 

Изменено 19 августа, 2022 пользователем thyrex
Скачал, удалил

[thyrex]

Да, это сам шифровальщик. Удалите файл вручную.

Пароли смените, их могли увести.

 

В той же папке есть файл ns.exe. Его тоже удалите.

 

С расшифровкой помочь не сможем.

[Вячеслав Говоров]

Спасибо! А как они попали на компьютер можно как-то выяснить?

[thyrex]

Скорее всего по RDP

[Вячеслав Говоров]

Спасибо

[Вячеслав Говоров]

Здравствуйте!  Выкупили декриптор. Как бы удостоверится, что он ещё что-нибудь не то не сделает? Может и вам пригодится - в архиве в приложении, пароль 1233.

Decrypt.rar

[thyrex]

Ключ шифрования все равно разный для каждого пострадавшего