тип не определен Поймали шифровальщика (kat6.l6st6r)

[Veresk]

Всем доброго дня.

 

Физический сервер, Windows 2003 R2 (Service Pack 2), лицензия, антивируса нет. Два стечения обстоятельств - забытая старая учетка с довольно простым паролем и открытый RDP (хоть и не на стандартном порту), который открывался на "пару дней" полгода назад. Под конец рабочего дня, некто, с канадского IP (если верить логам - Имя клиента: WIN-SLK700A2O30,  Адрес клиента: 172.245.27.60) зашел по RDP на сервер, и сделал свое грязное дело. Обнаружилось все только на следующее утро.

 

На сервере крутится библиотечная база, бэкап базы есть (пусть и месячной давности), но самая большая потеря - это электронные копии статей/книг/публикаций и т.п..

 

Отправляли зашифрованные файлы в drweb, там определили заразу как Trojan.Encoder #Maoloa, и расшифровать они не могут.

 

В архиве есть пара файлов в нормальном и зашифрованном виде ("Задание_на_обновление_базы_Web.bat" и "КАБИС. Catalog.doc")

 

Для просмотра уведомления о том что файлы зашифрованы нужно было запустить "HOW TO BACK YOUR FILES.exe", который по сути показывал html-страничку, 

FRST.txt Addition.txt __KABIS_VIRUS.zip how_to_back_your_files.html

[safety]

Возможно, что тип шифровальщика правильно определен.

[Veresk]

Самое интересное:

https://pdf.recoverytoolbox.com/ru/ - попробовали восстановить пару-тройку pdf на этом ресурсе, в бесплатном варианте - как будто бы что-то восстанавливает...

[safety]

возможно, на этом сервисе используется не дешифрование, а механизм восстановления