n3ww4v3 Шифровальщик PISCOSTRUI

[de_Gauss]

Сегодня народ пришел на работу и не смог подключиться к серверу по RDP. Сервер 2012R2 оказался зашифрован вот этой гадостью. Сервер никогда не выключался и, по словам клиентов, в пятницу уходили на выходные всё было нормально, а сегодня утром увидели эту "замечательную" картинку. 

Загрузились на зараженном ПК с USB Strelec и проверили Farbar. Логи прилагаются.

В папке C:\Users\Администратор\AppData\Local была обнаружена папка с именем {9B24D914-D8F5-5C43-5F18-C6758674D7BB}, где имеются следующие файлы

 

Кроме того,  в прикрепленном архиве находятся оригинальный и зашифрованный файлы линков, а также текстовое сообщение от вымогателя 

FRST.txt piscostrui.rar

[Sandor]

Здравствуйте!

 

К сожалению, скорее всего расшифровки этого типа вымогателя нет.

 

15 часов назад, de_Gauss сказал:

В папке C:\Users\Администратор\AppData\Local была обнаружена папка с именем {9B24D914-D8F5-5C43-5F18-C6758674D7BB}, где имеются следующие файлы

Упакуйте, пожалуйста, эту папку с паролем virus или infected, выложите на облако (или файлообменник без капчи) и ссылку на скачивание отправьте мне личным сообщением.

[de_Gauss]

Здравствуйте. При попытке отправить вам личное сообщение получаю уведомление: Sandor не может получать сообщения. Что я делаю не так? Архив выложен на Облако Мэйл.ру

Изменено 5 сентября, 2023 пользователем de_Gauss

[Sandor]

Хм, странно

Выложите сюда, постараюсь быстро ссылку удалить.

[de_Gauss]

"Ссылка"

Изменено 5 сентября, 2023 пользователем Sandor
Убрал ссылку

[Sandor]

Спасибо!

[de_Gauss]

Update. 

Продолжение истории. Владелец конторы связался с вымогателем , поторговался получил скидку и дешифратор.

[Sandor]

@ches66, не нарушайте правила этого раздела, пожалуйста! Вы не имеете права писать в чужих темах.