возможно procrustes Шифровальщик {JohnCorneille@tutamail.com} ID[4CEDFBCA0E2C].locked

[Chertos 0]

Здравствуйте! Взломали сервер через rdp соединение. 95% файлов зашифрованы с добавлением -. {JohnCorneille@tutamail.com} ID[4CEDFBCA0E2C].locked

 Можно ли что то сделать с этим? 

 

Сейчас всё подготовлю. 

Изменено 4 мая пользователем Chertos

[Mark D. Pearlstone 1 530]

Порядок оформления запроса о помощи

[Chertos 0]

Прикрепляю логи Farbar и архив с двумя шифрованными файлами и  требованиями. Как найти тело вируса?

Файлы и требования.rar Addition.txt FRST.txt

[safety 130]

Возможно, обновленный Procrustes, но нужен сэмпл, которым зашифрованы файлы.

Сканирование системы выполняли установленным антивирусом и (или) сканерами KVRT, Cureit? Добавьте пожалуйста, все логи обнаружения и сканирования для них.

+

проверьте ЛС

Изменено 5 мая пользователем safety

[Chertos 0]

Прогнал через KVRT

report_2024.05.05_09.27.03.rar

[safety 130]

Mimikatz (mimikatz_trunk.zip) скачивался, но это не тело шифровальщика.

 

Антивирус установлен до шифрования или после шифрования?

Kaspersky Endpoint Security для Windows (HKLM-x32\...\{9A017278-F7F4-4DF9-A482-0B97B70DD7ED}) (Version: 11.2.0.2254 - АО "Лаборатория Касперского")

Если был установлен до шифрования, тогда нужен так же лог журнала обнаружения угроз. Возможно тело шифровальщика было ранее удалено, чем сканирование в KVRT

 

Изменено 5 мая пользователем safety