phobos Шифрование при помощи STORM

[Metis7714 0]

Доброго времени суток. 31 июля был взломан RDP на компьютере под управлением Windows 7. Создан пользователь скрытый с правами администратора и запущена задача и шифровальщик по видом svchost.exe в разных местах системы. Обнаружено шифрование файлов компьютера (имя .id[907F2052-3352].[deep_77@tutanota.com].SHTORM) и через диспетчер задач Windows была завершена принудительно задача svchost.exe*32. Шифрование прекратилось, но основные файлы были зашифрованы, и осталась малая часть незашифрованных. Так как шифровальщик не успел выполнить всю задачу, то файлов о выкупе не появилось. С помощью антивирусов ( SpyHunter, KVRT) были найдены и удалены все шифровальщики в системе, на данный момент Скрытый пользователь, шифровальщик удалены, а RDP отключен от интернета (только внутри локальной сети включён) 

Была попытка восстановить удалённые файлы с дисков через различные программы восстановления, но результатов нет (Recuva, Pandora Recovery, PC Inspector File Recovery, RStudio9, Shadow Explorer) 

Addition.txt FRST.txt Зашифрованые файл.rar

[Sandor 1 294]

Здравствуйте!

 

К сожалению, расшифровки этого типа вымогателя нет.

 

19 минут назад, Metis7714 сказал:

С помощью антивирусов ( SpyHunter, KVRT) были найдены и удалены все шифровальщики в системе

Отчётов не сохранилось? Или хотя бы скриншотов обнаружения.

[Metis7714 0]

Сделал скрин истории сканирования

[Sandor 1 294]

Спасибо, подтверждение того, что вымогатель - Phobos.

Система на переустановку или будем чистить?

[Metis7714 0]

Систему на переустановку.

[thyrex 1 411]

@GreenStamp

Создайте свою тему, а не пишите в чужой, выполните правила раздела и пришлите всё необходимое