mimic Взлом по RDP и шифровка файлов

[Владимир В. А.]

Добрый день!

 

Windows 7 Pro x64

Прошу помочь, с очисткой компа от вируса и дешифровкой файлов. Зашел по RDP, подобрал пароль к учетке и через неё зашел на три компа, пошифровал много чего (в том числе загрузочные записи испортил).

В дальнейшем предполагаю переставить систему.

 

Addition.txt files.zip FRST.txt

Изменено 9 января пользователем Владимир В. А.

[safety]

Систему уже проверяли антивирусными сканерами? можете предоставить логи сканирования?

С расшифровкой не поможем, файлы зашифрованы Mimic/N3ww4v3, сохраните важные документы на отдельный носитель, возможно в будущем расшифровка станет возможной.

Изменено 9 января пользователем safety

[Владимир В. А.]

Нет, пока только обнаружил тело вируса. Проверять утилитами Касперского и ДрВеба?

[safety]

Файлы шифровальщика заархивируйте в один файл с паролем infected, загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Изменено 9 января пользователем safety

[Владимир В. А.]

Сделал. 

Оказывается шифровка шла одновременно с нескольких разных компьютеров, с разным и decrypt id и в некоторых местах перешифровал свои же ini и db поэтому взял где более полно файлы есть шифровщика, и оттуда же зашифрованные файлы

files2.zip

[safety]

12 minutes ago, Владимир В. А. said:

Сделал. 

известен в течение 1, 5 месяцев, детектируется основными антивирусами.

 

Quote

с разным и decrypt id

ID есть в записках о выкупе.

YOUR PERSONAL DECRYPTION ID - XXXXXXXXXXXXXXXXXXXXXX*ZERODAYHORSE

Изменено 9 января пользователем safety

[Владимир В. А.]

Хотелось бы вернуться к решения последствий.

После выкупа прислали дешифраторы, после запуска дешифратора на уже свежепоставленной win 10 при загрузке (перезагрузке) монтируются загрузочные разделы (которые по 100-500Мб) на буквы z y и так далее. 

Не могу понять, где это вычистить.. 

Автозагрузку смотрел, ничего подозрительно. Mount points проверял, вроде тоже ничего подозрительного, но это не точно) куда еще можно посмотреть?

Изменено 7 мая пользователем Владимир В. А.

[safety]

до шифрования на диске было сколько разделов?  после работы дешифратора под каждый раздел добавлены загрузочные разделы?

[Владимир В. А.]

9 часов назад, safety сказал:

до шифрования на диске было сколько разделов?  после работы дешифратора под каждый раздел добавлены загрузочные разделы?

До шифрования был ссд c вин7, после шифрования, ссд был отформатирован в GPT с тремя разделами - 1, EFI 100МБ, 2, раздел с системой 446ГБ, 3, "Раздел восстановления" 520МБ.

После перезагрузки 1 и 3 раздел получают буквы Z и Y, удаляю через diskpart, после перезагрузки снова.

[safety]

Возможно, какой-то софт монтирует эти области диска через буквы. Пробуйте обратиться в раздел компьютерной помощи. (Я, кстати, тоже замечал это при тестовых расшифровках по mimic на VM W7)

Изменено 8 мая пользователем safety