salted2020 Заблокировали файлы и диск на сервере.

[khortys]

Добрый день! Меня взломали, заблокировали файлы и теперь вымогают деньги, оставили почту. Пришел сюда потому что не знаю что делать.

К сожалению самого файл шифровальщика найти не удалось.

Прикрепляю логи (server1.zip), пару зашифрованных файлов и письмо вымогателей (temp.zip).

server1.zip temp.zip

[thyrex]

Здравствуйте.

 

Вас ведь в этой теме отправили в поддержку компании, а не на форум клуба Касперского.

[khortys]

Да совершенно верно, я почему-то решил что тут поддержка =). 

У меня к сожалению нет лицензии касперского, я получил рекомендацию тут обратиться на форум если нет лицензии.

[thyrex]

В этом форуме отвечают простые пользователи. 

 

У Вас поработали два разных шифровальщика: в сентябре - mimic/n3wwv43 ransomware, в январе - salted2020. 

Расшифровки ни того, ни другого без приватных ключей нет.

[safety]

1 час назад, khortys сказал:

К сожалению самого файл шифровальщика найти не удалось.

В этой папке

2025-01-18 23:26 - 2025-01-19 06:18 - 000000000 ____D C:\Users\USR1CV83

проверьте что есть в TEMP пользователя из исполняемых скриптов (*.cmd, *.bat) по времени,  близко к началу шифрования.

Изменено 19 января, 2025 пользователем safety

[khortys]

Да что-то похожее есть.

tmpcmd_c.zip

[safety]

других скриптов не нашлось  примерно на эту дату и время?

[khortys]

Нет. Причем на втором сервере видимо удалили перед уходом все скрипты.

[safety]

С расшифровкой файлов по данному типу шифровальщика не сможем помочь.