chaos зашифровали компьютер с 1С

[Михаил79]

Здравствуйте. Зашифровали рабочий компьютер с 1с

Addition.txt arhiv.rar FRST.txt

[safety]

В этой папке что есть?

2025-04-12 22:22 - 2025-04-13 04:10 - 000000000 ____D C:\DEC

и этот файл добавьте без изменения имени.

2025-04-13 03:17 - 2025-04-13 03:17 - 000003334 _____ C:\Users\Администратор\read.txt

есть возможность добавить несколько пар чистый-зашифрованный к файлам с расширением *.argon, размером несколько Mb, желательно к офисным документам doc*, xls* или рисункам jpg.

 

Изменено 14 апреля пользователем safety

[Михаил79]

чистых фалов нет. 

в архиве файл из C:\DEC и read.txt

Desktop.rar

 

Еще забыл сообщить. Зашифрованные файлы на диске C. А вот на месте диска D один большой архив, и на нем и были базы 1С.

[safety]

Шифрование файлов с расширением *.argon - похоже на шифрование Chaos, предыдущий вариант, который использовали злоумышленники - это шифрование с расширением *.azot.

А так же с перемещением важных документов в архив.

Если систему сканировали Cureit, KVRT - добавьте пожалуйста, отчеты или логи сканирования,в архиве, без пароля.

+

Проверьте ЛС.

[safety]

43 минуты назад, Михаил79 сказал:

А вот на месте диска D один большой архив, и на нем и были базы 1С.

Архив на диске D размещен? Архив читается? Видите файлы, которые помещены в архиве?

[Михаил79]

Весь диск D записан в архив "Диск D". При открытии просит пароль.

[safety]

Можете показать на скриншоте как это выглядит? может быть это было не архивирование, а шифрование Bitlocker.

[Михаил79]

[safety]

Ясно. Это все таки раровский архив,

Возможно именно злоумышленники и обновили/или установили 12.04 обновленную версию Winrar

Datetime,Source,Event description
12.04.2025 21:14:07.524,Non-MS Apps,"Application ""WinRAR 7.01 (64-разрядная)"" was installed."

Готовились заранее к часу X.

 

А размер диска D не изменился при этом?

 

Изменено 14 апреля пользователем safety