enmity Файлы зашифрованы

[VAR 0]

Добрый день!

 

Получен доступ к файловому серверу и зашифрованы файлы, на текущий момент файловый сервер переустановлен, но имеется виртуальный сервер с теми же симптомами логи и файлы предоставлены с него

Логи Farbar Recovery Scan Tool.

https://disk.yandex.ru/d/0J1OyOHt7t_7WQ

Шифрованные и оригиналы файлов, а также комплект ПО (найденный на сервере), архив с паролем (как сообщить пароль напишите.... я не понял можно ли его указать здесь...)

 

 

Сообщение от хакеров в текстовом файле 

----------------------------

Your Files has Been locked and sensitive information has been stolen
you have to pay in bitcoin to unlock your files and get decryption tool
there is a seperate price for not publishing your sensitive data on internet
there is no free decryption or no company that be able to help you recover your files ( but its ok to try if you willing to risk the price to go higher)
contact our telegram for faster response but if you dont get answer after 24 hour contact our email
You can have a little file test decryption or proof of people from your country who paid and got decryption
Your Case ID:9VL2UDW958Y4YO

Our telegram:https://t.me/Justrecover
Our Email:justrecova@gmail.com

----------------------------

ссылка удалена.

Изменено 24 июля пользователем safety
прямая ссылка на архив удалена

[thyrex 1 407]

Логи прикрепляют к сообщению, а не выкладывают на обменник.

 

c:\tzxl2 - заархивируйте с паролем malware123 и прикрепите к сообщению.

 

С помощью редактора реестра зайдите в ветку

Цитата

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

и отредактируйте значение параметра Shell, убрав этот хвост (включая начальную запятую)

Цитата

,c:\tzxl2\zip.bat,c:\tzxl2\del.bat

 

 

[safety 107]

3 часа назад, VAR сказал:

(как сообщить пароль напишите.... я не понял можно ли его указать здесь...)

здесь не нужно сообщать пароль, так как после этого ваш архив будет доступен всем.

Напишите пароль в ЛС.

[VAR 0]

не могу отправить личное сообщение пишет не более 0 сообщений в день....

 

[safety 107]

Хорошо, напишите здесь, сообщение после этого будет удалено.

+

Цитата

c:\tzxl2 - заархивируйте с паролем malware123 и прикрепите к сообщению.

 

Изменено 24 июля пользователем safety

[VAR 0]

исправлено

Изменено 24 июля пользователем safety
Исправлено значение

[safety 107]

17 минут назад, VAR сказал:

исправлено

сэмпл шифровальщика:

https://www.virustotal.com/gui/file/c4d4b4f9609482afe85410787e14c07cc156132a83468907cece603bc0cfcc63?nocache=1

+

агент:

https://www.virustotal.com/gui/file/516cf60c349615bceec189f1bfef756c0f0a09482ba687b2f0880734d4e7f4ea?nocache=1

+

ждем от вас ответа на предыдущее сообщение

[VAR 0]

Параметр в реестре исправили но указанная папка на диске отсутствует.... 

[thyrex 1 407]

Значит шифратор уже закончил свою работу и самоликвидировался.

[VAR 0]

Отправляю папку....

tzxl2.rar

[thyrex 1 407]

А пароль какой?

[safety 107]

19 минут назад, thyrex сказал:

А пароль какой?

malware123

[thyrex 1 407]

Точняк, сам же такой просил установить