Перейти к содержанию
Задай вопрос Александру Ильину!

Шифровальщик [@rudecrypt]

QueenBlack
 Share Подписчики 1

Рекомендуемые сообщения

QueenBlack

QueenBlack 0

Опубликовано
Опубликовано

Доброго дня.

Пришла беда, прошу помощи.

 

   var start_date = new Date('May 26 2023 23:52:20');
    var discount_date = new Date('May 28 2023 23:52:20');
    var end_date = new Date('May 31 2023 23:52:20');
    var main_contact = '@rudecrypt';
    var second_contact = 'telegramID@rudecrypt';
    var hid = '[6243493E-BBF995AE]';
    var telegram_link = 'https://telegram.org/';

 

Addition.txt FRST.txt crypt.7z how_to_decrypt.7z

Ссылка на сообщение
Поделиться на другие сайты
QueenBlack

QueenBlack 0

Опубликовано
  • Автор
Опубликовано

Исполняемые файлы зловреда также найдены. Сохранил отдельно, если понадобятся для анализа.

 

20 минут назад, QueenBlack сказал:

Исполняемые файлы зловреда также найдены. Сохранил отдельно, если понадобятся для анализа.

Касперский распознал его как HEUR:Trojan-Ransome.Win32.Generic

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 419

Опубликовано
Опубликовано

Расшифровки для данного варианта нет. Чистка мусора нужна или система под переустановку?

Ссылка на сообщение
Поделиться на другие сайты
QueenBlack

QueenBlack 0

Опубликовано
  • Автор
Опубликовано

Печально.

"Мусор" пока поживет, возможно, - дождется вариантов своей расшифровки. Систему зловред не тронул, - только пользовательские данные.

Активный бесплатный Касперский распознал шифровальщика только на вторые сутки его работы =(.

 

Все что было в резервных копиях на внешних ресурсах - спаслось, остальное - стало предметом для адресного восстановления из рабочих почтовых переписок.

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 419

Опубликовано
Опубликовано

Тогда мусор все же почистим. А Вы закрывайте дыры в RDP, через который к Вам и попали.


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM\...\RunOnce: [f0526281-a437-4a76-9c19-8d87672bdfe8] => "C:\Users\wsadmin\AppData\Local\Temp\{b427590c-07d6-4b6e-ad26-d1cc80882dd4}\f0526281-a437-4a76-9c19-8d87672bdfe8.cmd" (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3320199422-1080776454-3874141068-1002\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\111\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-3320199422-1080776454-3874141068-1002\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\111\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-3320199422-1080776454-3874141068-1004\...\Run: [6243493E-BBF995AEhta] => C:\Users\333\AppData\Local\Temp\how_to_decrypt.hta [14672 2023-05-26] () [Файл не подписан] [Файл уже используется] <==== ВНИМАНИЕ
HKU\S-1-5-21-3320199422-1080776454-3874141068-1006\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\444\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-3320199422-1080776454-3874141068-1006\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\444\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-3320199422-1080776454-3874141068-1006\...\RunOnce: [Uninstall 19.043.0304.0013\amd64] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\444\AppData\Local\Microsoft\OneDrive\19.043.0304.0013\amd64" (Нет файла)
HKU\S-1-5-21-3320199422-1080776454-3874141068-1006\...\RunOnce: [Uninstall 19.043.0304.0013] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\444\AppData\Local\Microsoft\OneDrive\19.043.0304.0013" (Нет файла)
HKU\S-1-5-21-3320199422-1080776454-3874141068-1007\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\555\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-3320199422-1080776454-3874141068-1007\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\555\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-3320199422-1080776454-3874141068-1007\...\RunOnce: [Uninstall 19.043.0304.0013\amd64] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\555\AppData\Local\Microsoft\OneDrive\19.043.0304.0013\amd64" (Нет файла)
HKU\S-1-5-21-3320199422-1080776454-3874141068-1007\...\RunOnce: [Uninstall 19.043.0304.0013] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\555\AppData\Local\Microsoft\OneDrive\19.043.0304.0013" (Нет файла)
IFEO\EOSNOTIFY.EXE: [Debugger] *
IFEO\InstallAgent.exe: [Debugger] *
IFEO\MusNotification.exe: [Debugger] *
IFEO\MUSNOTIFICATIONUX.EXE: [Debugger] *
IFEO\remsh.exe: [Debugger] *
IFEO\SIHClient.exe: [Debugger] *
IFEO\UpdateAssistant.exe: [Debugger] *
IFEO\UPFC.EXE: [Debugger] *
IFEO\UsoClient.exe: [Debugger] *
IFEO\WaaSMedic.exe: [Debugger] *
IFEO\WaasMedicAgent.exe: [Debugger] *
IFEO\Windows10Upgrade.exe: [Debugger] *
IFEO\WINDOWS10UPGRADERAPP.EXE: [Debugger] *
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
2023-05-26 23:59 - 2023-05-26 23:59 - 000014672 _____ C:\Users\wsadmin\how_to_decrypt.hta
2023-05-26 23:59 - 2023-05-26 23:59 - 000014672 _____ C:\Users\wsadmin\Downloads\how_to_decrypt.hta
2023-05-26 23:59 - 2023-05-26 23:59 - 000014672 _____ C:\Users\wsadmin\Documents\how_to_decrypt.hta
2023-05-26 23:59 - 2023-05-26 23:59 - 000014672 _____ C:\Users\wsadmin\Desktop\how_to_decrypt.hta
2023-05-26 23:59 - 2023-05-26 23:59 - 000014672 _____ C:\Users\wsadmin\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2023-05-26 23:59 - 2023-05-26 23:59 - 000014672 _____ C:\Users\wsadmin\AppData\Roaming\Microsoft\how_to_decrypt.hta
2023-05-26 23:59 - 2023-05-26 23:59 - 000014672 _____ C:\Users\wsadmin\AppData\Roaming\how_to_decrypt.hta
2023-05-26 23:59 - 2023-05-26 23:59 - 000014672 _____ C:\Users\wsadmin\AppData\LocalLow\how_to_decrypt.hta
2023-05-26 23:59 - 2023-05-26 23:59 - 000014672 _____ C:\Users\wsadmin\AppData\how_to_decrypt.hta
2023-05-26 23:59 - 2023-05-26 23:59 - 000014672 _____ C:\how_to_decrypt.hta
2023-05-26 23:58 - 2023-05-26 23:58 - 000014672 _____ C:\Users\wsadmin\AppData\Local\how_to_decrypt.hta
2023-05-26 23:58 - 2023-05-26 23:58 - 000014672 _____ C:\Users\Lenovo\how_to_decrypt.hta
2023-05-26 23:58 - 2023-05-26 23:58 - 000014672 _____ C:\Users\Lenovo\Downloads\how_to_decrypt.hta
2023-05-26 23:58 - 2023-05-26 23:58 - 000014672 _____ C:\Users\Lenovo\Documents\how_to_decrypt.hta
2023-05-26 23:58 - 2023-05-26 23:58 - 000014672 _____ C:\Users\Lenovo\Desktop\how_to_decrypt.hta
2023-05-26 23:58 - 2023-05-26 23:58 - 000014672 _____ C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2023-05-26 23:58 - 2023-05-26 23:58 - 000014672 _____ C:\Users\Lenovo\AppData\Roaming\Microsoft\how_to_decrypt.hta
2023-05-26 23:58 - 2023-05-26 23:58 - 000014672 _____ C:\Users\Lenovo\AppData\Roaming\how_to_decrypt.hta
2023-05-26 23:58 - 2023-05-26 23:58 - 000014672 _____ C:\Users\Lenovo\AppData\LocalLow\how_to_decrypt.hta
2023-05-26 23:58 - 2023-05-26 23:58 - 000014672 _____ C:\Users\Lenovo\AppData\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\Lenovo\AppData\Local\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\Default\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\Default\Documents\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\Default\AppData\Roaming\Microsoft\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\Default\AppData\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\555\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\555\Downloads\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\555\Documents\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\555\Desktop\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\555\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\555\AppData\Roaming\Microsoft\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\555\AppData\Roaming\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\555\AppData\LocalLow\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\555\AppData\Local\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\555\AppData\how_to_decrypt.hta
2023-05-26 23:56 - 2023-05-26 23:56 - 000014672 _____ C:\Users\444\how_to_decrypt.hta
2023-05-26 23:55 - 2023-05-26 23:55 - 000014672 _____ C:\Users\Public\how_to_decrypt.hta
2023-05-26 23:55 - 2023-05-26 23:55 - 000014672 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2023-05-26 23:55 - 2023-05-26 23:55 - 000014672 _____ C:\Users\444\Downloads\how_to_decrypt.hta
2023-05-26 23:55 - 2023-05-26 23:55 - 000014672 _____ C:\Users\444\Documents\how_to_decrypt.hta
2023-05-26 23:55 - 2023-05-26 23:55 - 000014672 _____ C:\Users\444\Desktop\how_to_decrypt.hta
2023-05-26 23:55 - 2023-05-26 23:55 - 000014672 _____ C:\Users\444\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2023-05-26 23:55 - 2023-05-26 23:55 - 000014672 _____ C:\Users\444\AppData\Roaming\Microsoft\how_to_decrypt.hta
2023-05-26 23:55 - 2023-05-26 23:55 - 000014672 _____ C:\Users\444\AppData\Roaming\how_to_decrypt.hta
2023-05-26 23:55 - 2023-05-26 23:55 - 000014672 _____ C:\Users\444\AppData\LocalLow\how_to_decrypt.hta
2023-05-26 23:55 - 2023-05-26 23:55 - 000014672 _____ C:\Users\444\AppData\Local\how_to_decrypt.hta
2023-05-26 23:55 - 2023-05-26 23:55 - 000014672 _____ C:\Users\444\AppData\how_to_decrypt.hta
2023-05-26 23:55 - 2023-05-26 23:55 - 000014672 _____ C:\Users\222\how_to_decrypt.hta
2023-05-26 23:55 - 2023-05-26 23:55 - 000014672 _____ C:\Users\222\Downloads\how_to_decrypt.hta
2023-05-26 23:55 - 2023-05-26 23:55 - 000014672 _____ C:\Users\222\Documents\how_to_decrypt.hta
2023-05-26 23:55 - 2023-05-26 23:55 - 000014672 _____ C:\Users\222\Desktop\how_to_decrypt.hta
2023-05-26 23:55 - 2023-05-26 23:55 - 000014672 _____ C:\Users\222\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\333\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\333\Downloads\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\333\Documents\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\333\Desktop\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\333\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\333\AppData\Roaming\Microsoft\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\333\AppData\Roaming\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\333\AppData\LocalLow\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\333\AppData\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\222\AppData\Roaming\Microsoft\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\222\AppData\Roaming\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\222\AppData\LocalLow\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\222\AppData\Local\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\222\AppData\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\111\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\111\Downloads\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\111\Documents\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\111\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\111\AppData\Roaming\Microsoft\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\111\AppData\Roaming\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\111\AppData\LocalLow\how_to_decrypt.hta
2023-05-26 23:54 - 2023-05-26 23:54 - 000014672 _____ C:\Users\111\AppData\how_to_decrypt.hta
2023-05-26 23:53 - 2023-05-26 23:53 - 000014672 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2023-05-26 23:53 - 2023-05-26 23:53 - 000014672 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
2023-05-26 23:53 - 2023-05-26 23:53 - 000014672 _____ C:\Users\how_to_decrypt.hta
2023-05-26 23:53 - 2023-05-26 23:53 - 000014672 _____ C:\Users\333\AppData\Local\how_to_decrypt.hta
2023-05-26 23:53 - 2023-05-26 23:53 - 000014672 _____ C:\Users\111\AppData\Local\how_to_decrypt.hta
2023-05-26 23:53 - 2023-05-26 23:53 - 000014672 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2023-05-26 23:53 - 2023-05-26 23:53 - 000014672 _____ C:\ProgramData\how_to_decrypt.hta
2023-05-26 23:51 - 2020-11-13 14:30 - 000003611 _____ C:\Users\333\Documents\closeapps.bat
2023-05-26 23:51 - 2019-02-14 19:00 - 000000063 _____ C:\Users\333\Documents\LogDelete.bat
2023-05-26 23:51 - 2019-01-30 10:41 - 000128000 _____ C:\Users\333\Documents\NS v.222.exe
2023-05-26 23:51 - 2018-06-09 12:01 - 000000028 _____ C:\Users\333\Documents\Shadow.bat
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на сообщение
Поделиться на другие сайты
QueenBlack

QueenBlack 0

Опубликовано
  • Автор
Опубликовано

Возможно, что-то сделал не так...

(Не понял - куда в программу вставлять содержимое буфера обмена), Только нажал Исправить.

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 419

Опубликовано
Опубликовано

Программа успешно отработала с буфером обмена.

 

Это всё, чем мы можем помочь на данный момент. Без слива мастер-ключей расшифровать не получится.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • davidbayra
      Шифровальщик (fairexchange@qq.com)
      От davidbayra
      Здравствуйте примерно в это-же время у меня случилось та же проблема, на win7 зашифровались все файлы этим же шифровальщиком(fairexchange@qq.com), я тоже отложил диск до лучших времен и вот сейчас увидел это сообщение на форуме я обрадовался. Подскажите как мне расшифровать данные? Приложил пример зашифрованного файла. Спасибо!
      Документы №20933363040.Pdf[fairexchange@qq.com].zip
       
      Сообщение от модератора thyrex Перенесено из темы https://forum.kasperskyclub.ru/topic/424464-rasshifrovano-shifrovalshhik-fairexchangeqqcom/  
    • Алексей Шулепов
      Шифровальщик
      От Алексей Шулепов
      Добрый вечер, с 7 на 8 июля 2023 взломали рабочую станцию с win 11 заразили ее и те ПК с общими папками которые были включены, был заражен сервер через RDP c этой станции, на сервере был заражен диск Д кроме баз MS SQL, в папке пользователя AppData осталось 5 файлов и 1 один в автозагрузке Desktopini.exe который определялся как  вирус вымогатель. по крайне мере так его опознал Kaspersky Anti-Ransomware Tool for Business 5 (PDM: Trojan.Win32.Bazon.a) шифрует с расширением .OjuC на другом ПК с рас ширением .OpsO , на эти два зашифрованных файла есть оригиналы нешифрованные.


      Addition.txt FRST.txt Read_Me!_1.txt зашифрованные файлы.rar
    • Evgen2454
      Шифровальщик Ransom:Win32/Lockbit.RPA!MTB с расширением .bGe6JmZwv
      От Evgen2454
      Добрый день. 07.07.2023 в ночь взломали все сервера и положили всю сеть. Обнаружили когда с утра не работала 1с. Ощущение будто ломали ручками потому что не до всех мест долезли и местами после подключения видны открытые окна которые оставили злоумышленники (было отрыто окно групповых политик где устанавливалось изображение рабочего стола). Файл exe который всё ломает антивирусом видится как Ransom:Win32/Lockbit.RPA!MTB. Сохранялся исполняемый файл в несколько директорий, вот которые заметил:

      C:\Windows\SYSVOL\domain\scripts
      \\domain.local\NETLOGON
      \\domain.local\SYSVOL\domain.local\scripts

      так же через время на принтеры отправили 999 копий текста вымогателей. Архив с вирусом есть. Очень нужна помощь по восстановлению данных.
      Addition.txtFRST.txtзашифрованный файл.rarbGe6JmZwv.README.txt
    • BritishSteel
      Шифровальщик
      От BritishSteel
      Добрый вечер. Поймал наш серверок шифровальщика, судя по всему - через rdp. Заблокированы жесткие диски битлокером, требует пароль для разблокировки) На оставшемся незакрытом разделе (причем системном) зашифрованных файлов нет. Но по всем директориям разбросал txt-шки FILES-ENCRYPTED (прикрепил в архиве, пароль virus). База 1С SQL бэкапилась на NAS, как бы проблему обойти можно банальной установкой других винтов, переустановить сервер, установить sql заново и разархивировать последний бэкап, но есть тонкости, которые подвластны нашему 1С-нику, а он исчез с поля зрения и не выходит на связь.
      Addition.txt FRST.txt FILES_ENCRYPTED.rar
    • Ilnazg
      Шифровальщик зашифровал базы SQL и документы
      От Ilnazg
      Добрый день зашифрованы фалы базы SQL  и документы, создалась групповая политика и распространила администраторов на сервера и из поднего зашифровала файлы. Политику отключили пароли админов сменили, локальных админов удалили.
      DATA.7z FRST.txt Addition.txt
×
×
  • Создать...