Зашифровались все файлы кроме txt

[progig]

Доброго времени суток 30.07 все ПК сети введенные  в домен одновременно перезагрузились. Виндовс больше не запустился, все остановилось на "восстановлении системы". Система не восстанавливалась, у некоторых ПК диски вовсе упали в RAW. Поверх был установлен виндовс, но старые файлы пользователей так и не открылись( у всех файлов(кроме .txt, которые открываются) одна и та же дата/время изменения файла с минутной разницей). Файл FRST сделан из под командной строки "восстановления системы". Файл Addition не формируется. Записки о выкупе не обнаружено.

Прикрепляю файл FRST и зашифрованные файлы. FRST.rarзашифрованные файлы.rar

[progig]

совсем забыл. обнаружены подозритеvirus.rarльные файлы. прикреплю в архиве с паролем virus

[safety]

Эти файлы можете добавить в архиве без пароля?:

2025-08-04 11:41 - 2025-08-04 11:41 - 000000000 _____ C:\Recovery.txt

2025-08-05 04:32 - 2024-11-01 06:29 - 000000000 _____ C:\Users\alpeev\Desktop\Текстовый документ.decryptedKLR.txt

 

Этот файл добавьте в архив с паролем virus, полученный архив добавьте в ваше сообщение.

2025-07-29 11:14 - 2025-07-29 09:36 - 000201216 _____ C:\Windows\SysWOW64\LocalManProv.exe

 

Изменено 1 час назад пользователем safety

[progig]

они пустые, возможно какие то файлы от программ, которые уже использовали на чистой системе, пытаясь восстановить файлы. 
Использовали: Wondershare recoverit, puran file recovery
Архив все равно прикрепилфайлы по запросу.rar

[safety]

39 минут назад, progig сказал:

совсем забыл. обнаружены подозритеvirus.rarльные файлы. прикреплю в архиве с паролем virus

Выходит атаковали через домен. Всем, кто авторизовался в домене, прилетели эти файлы (которые в архиве), и запустились. Возможно, что была атака с целью максимального повреждения файлов, т.е. не шифрование, а повреждение без возможности восстановления.

Изменено 2 часа назад пользователем safety

[progig]

что самое интересное, при попытке восстановить файл программой Wondershare recoverit на предпросмотре видно все содержимое в первоначальном виде. Но при восстановление, получаем битый не открывающийся файл. Как то предпросмотр видит файл в нормальном виде.....Как...и как его в таком же нормальном виде восстановить, пока не поймём.

[safety]

2 часа назад, progig сказал:

они пустые, возможно какие то файлы от программ

а этот файл можете предоставить?
 

Цитата

 

Этот файл добавьте в архив с паролем virus, полученный архив добавьте в ваше сообщение.

2025-07-29 11:14 - 2025-07-29 09:36 - 000201216 _____ C:\Windows\SysWOW64\LocalManProv.exe