Зашифровались все файлы кроме txt

25 августа

Доброго времени суток 30.07 все ПК сети введенные в домен одновременно перезагрузились. Виндовс больше не запустился, все остановилось на "восстановлении системы". Система не восстанавливалась, у некоторых ПК диски вовсе упали в RAW. Поверх был установлен виндовс, но старые файлы пользователей так и не открылись( у всех файлов(кроме .txt, которые открываются) одна и та же дата/время изменения файла с минутной разницей). Файл FRST сделан из под командной строки "восстановления системы". Файл Addition не формируется. Записки о выкупе не обнаружено.

Прикрепляю файл FRST и зашифрованные файлы. FRST.rar зашифрованные файлы.rar

25 августа

совсем забыл. обнаружены подозритеvirus.rarльные файлы. прикреплю в архиве с паролем virus

25 августа

Эти файлы можете добавить в архиве без пароля?:

2025-08-04 11:41 - 2025-08-04 11:41 - 000000000 _____ C:\Recovery.txt

2025-08-05 04:32 - 2024-11-01 06:29 - 000000000 _____ C:\Users\alpeev\Desktop\Текстовый документ.decryptedKLR.txt

Этот файл добавьте в архив с паролем virus, полученный архив добавьте в ваше сообщение.

2025-07-29 11:14 - 2025-07-29 09:36 - 000201216 _____ C:\Windows\SysWOW64\LocalManProv.exe

Изменено 25 августа пользователем safety

25 августа

они пустые, возможно какие то файлы от программ, которые уже использовали на чистой системе, пытаясь восстановить файлы.
Использовали: Wondershare recoverit, puran file recovery
Архив все равно прикрепилфайлы по запросу.rar

25 августа

39 минут назад, progig сказал:

совсем забыл. обнаружены подозритеvirus.rarльные файлы. прикреплю в архиве с паролем virus

Выходит атаковали через домен. Всем, кто авторизовался в домене, прилетели эти файлы (которые в архиве), и запустились. Возможно, что была атака с целью максимального повреждения файлов, т.е. не шифрование, а повреждение без возможности восстановления.

Изменено 25 августа пользователем safety

25 августа

что самое интересное, при попытке восстановить файл программой Wondershare recoverit на предпросмотре видно все содержимое в первоначальном виде. Но при восстановление, получаем битый не открывающийся файл. Как то предпросмотр видит файл в нормальном виде.....Как...и как его в таком же нормальном виде восстановить, пока не поймём.

25 августа

2 часа назад, progig сказал:

они пустые, возможно какие то файлы от программ

а этот файл можете предоставить?

Цитата

Этот файл добавьте в архив с паролем virus, полученный архив добавьте в ваше сообщение.

2025-07-29 11:14 - 2025-07-29 09:36 - 000201216 _____ C:\Windows\SysWOW64\LocalManProv.exe

25 августа

2 часа назад, progig сказал:

Wondershare recoverit на предпросмотре видно все содержимое в первоначальном виде

Восстанавливаете на другой носитель? или в эту же систему?

28 августа

восстанавливаю на другой носитель

LocalManProv.rar Добавил

28 августа

А в саму систему можете восстановить файл, в другой каталог например?

по файлу. скорее всего троян судя по детектам.

https://www.virustotal.com/gui/file/1a914f3a16b1e897546d2bb26897d77a5ab40fcc17eb49c7d8f88e199272cd92?nocache=1

28 августа

8 минут назад, safety сказал:

А в саму систему можете восстановить файл, в другой каталог например?

по файлу. скорее всего троян судя по детектам.

https://www.virustotal.com/gui/file/1a914f3a16b1e897546d2bb26897d77a5ab40fcc17eb49c7d8f88e199272cd92?nocache=1

как бы не пытался восстановить файл, в любое место, результат всегда один =(

28 августа

Пробуйте обратиться в ТП антивирусных компаний Касперского или Дрвеб. возможно будет необходима лицензия на продукты данных компаний.

Зашифровались все файлы кроме txt

Рекомендуемые сообщения

progig

progig

safety

progig

safety

progig

safety

safety

progig

safety

progig

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum