phobos Все файлы зашифрованы jhonson@tuta.io].SHTORM. ОС не переустанавливали, все в первозданном зараженно-испорченном виде.

[IgorSavva]

Зашифровано 2 диска, C и D. 
Полностью. Даже папки и файлы винды и тд... Жестко...

Обнаружено было 7.05.2023 в 16.30, после этого комп выключили и загрузиться больше не смогли.
Загрузились с флэшки, судя по измененным папкам заражение началось 5.06.2023 в 11.39 утра.

Операционка w7/

 

Комп просто стоял, на нем никто не сидел.
Попытался с флешки запустить Farbar Recovery Scan Tool, -запускается, нот ничего не ищет и не делает, так как запускается не из под родной винды.
В корневике на C имеется 2 файла info.txt и info.hta
В корневике D помимо этих двух файлов лежит AntiRb.exe, который присутствует во всяких возможных папках автозагрузок, дата создания 05.060.2023.

 

Также появился пользователь с именем fttp, создана пака также 05.06.2023

 

Файлы прикладываю..

Что делать дальше?

 

 

trebovaniya_txt, hta.7z file_virus.7z primers.7z

[Sandor]

Здравствуйте!

 

Увы, это Phobos, расшифровки нет.

[IgorSavva]

Ок, спасибо. 
скажите, а если в будущем появится дешифровщик, то какие можно ли будет расшифровать? 
и что именно нужно сохранить? Только зашифрованные файлы или что-то еще? 
 

и второй вопрос: 

могли ли быть в рамках данного заражения похищены данные? Или просто зашифровано и все?

[Sandor]

Расшифровка может появиться только после слива приватных ключей или после ареста вымогателей и изъятия серверов, на которых эти ключи хранятся.

Сохранить нужно также записки с требованием выкупа.

 

На второй вопрос труднее ответить, т.к. нет логов системы. Но исключать вариант хищения нельзя. К сожалению, такое могло произойти, раз был взлом.

[IgorSavva]

А где посмотреть логи системы? 
есть вероятность что они тоже зашифрованы, но все-таки. Хочется разобраться

12.06.2023 в 08:31, Sandor сказал:

 

На второй вопрос труднее ответить, т.к. нет логов системы. 

 

[Sandor]

Я подразумевал логи, собранные с помощью программы Farbar Recovery Scan Tool.

Но и по ним не всегда можно определить было ли хищение.

Скажу так, ранее этот вымогатель не был замечен в краже данных.