n3ww4v3 Ночью сработал шифровальщик .QUIETPLACE

[T-renegade]

Вечер добрый.

Ночью сработал шифровальщик. Некоторые компьютеры были включены и данные, на них оказались зашифрованы.

Сохранено оригинальное имя, добавлено расширение .QUIETPLACE.

На компьютере, собственно с которого началось, зачищен лог в 7:01. 

Утром около 5:00 другой сотрудник включил свой компьютер, и файлы на нём тоже зашифровали. Значит шифровальщик ещё работал.

Скорее всего заражение было через вложение эл. почты. Почту ту пока не просматривал, нужно было восстановить работу других, менее пострадавших мест.

Что за шифровальщик - не ясно.

Возможно заход через RDP. Но в случае RDP ущерб мог был быть больше.

На компьютере, где отработал шифровальщик, систему не переставлял. Ничего не удалял. Сразу отключил от сети. Возможно вирус ещё активен - виден логический  диск, происхождение которого не видно в ДискАдминистраторе.

Загрузился с флешки, просканировал свежим КуреИтом все разделы - ничего.

 

Возможно ли расшифровать?

Encryp_and_ransom.zip FRST.txt Addition.txt

[Sandor]

Здравствуйте!

 

Это N3ww4v3 Ransomware, расшифровки нет, к сожалению.

Помощь в очистке системы нужна или будет переустановка?

[T-renegade]

Спасибо за ответ. Сегодня с утра поставил, но на другой диск. Тот снял, пока пусть лежит.

Расшифровка невозможна, т.к. негде взять ключ для этого?

[Sandor]

Именно так. Секретный ключ находится у преступников.

[T-renegade]

Этот ключ генерируется на компьютере жертвы и отправляется на почту жулика?

Я почитал про этот вирь по ссылке - там упоминаются некие емэйлы.

[Sandor]

В шифровании участвуют два ключа - один с компьютера жертвы и второй с сервера злодеев.