n3ww4v3 Взломали RDP и зашифровали большую часть дисков

[nsgdima]

Компьютер у меня работает круглосуточно, в основном ради выделенного IP и возможности наблюдения за весьма пожилыми родственниками у меня и на другом адресе, где выделенного IP нет, камеры пробрасываются через меня на внутреннюю сеть дом.ру

На компьютере поднят OpenServer и FileZilla, а так же RDP для удобства пользования ... Компьютер двухпроцессорный на 1366, два ксеона X5650, собран по дешевке на Авито и Али ... при нынешнем интернете очень удобно с древнего ноутбука на даче подключаться к нормальному домашнему компьютеру.

Сегодня утром обнаружил что не запускаются некоторые программы, типа нет файла, начал смотреть и обнаружил запущенный параллельно сеанс, как будто дочка зашла ... закрыл его, восстановил тоталкоммандер и начал смотреть что происходит ... никаких лишних процессов запущенных не вижу, но большая часть файлов имеет вид "фото авто 001.jpg.w9lq64h4", при нажатии на такой файл открывается блокнот с текстом:

"Ваши документы, базы данных и другие файлы были зашифрованы. Но не стоит переживать! Мы все расшифруем и вернем на свои места." и т.д.

Компьютер пока не перезапускал, возможно поэтому система пока как то работает.

Никаких госсекретов и оборонных данных у меня нет, но коллекцию музыки и фильмов жалко ... если есть возможность расшифровать это дело, помогите пожалуйста ...

files.ZIP FRST.txt Addition.txt

Изменено 11 января, 2023 пользователем nsgdima
добавление информации

[Sandor]

Здравствуйте!

 

Некоторое время подождите, пробуем определить тип вымогателя.

Пока судя по логам, могу сказать, что шифрование началось сегодня ночью 2023-01-11 01:31

[Sandor]

Это N3ww4v3, расшифровки нет.

Спойлер

Хотя известно, что вымогатели действительно расшифровывают

 

[nsgdima]

Похоже я нашел кодировщика ... в папке пользователя, от чьего имени был вход RDP нашел папку, типа скрытую, закрытую и т.д.

Там то что в архиве и 4 зашифрованных файла

1.ZIP