cowan 0 Опубликовано 2 мая, 2016 Share Опубликовано 2 мая, 2016 (изменено) Всем привет, Сегодня столкнулся с проблемой, что почти все файлы mp4, docx зашифрованы. Файлы получили расширение ki1675925, а в каждой папке файл HOW TO DECRYPT FILES.txt следующего содержания:Your UID ki1675925All files encrypted with AES algorithm!Send to email decrypted8@yandex.ru or decrypted8@tutamail.comyour UID and country of residence.For free decrypt you can send a 3 small encrypted files. Под удал попали все файлы, которые были на сетевом диске wdmycloud. Причем диск не подключен был к облаку, только из локалки. На комках стояли касперы, все ок. Предположительно троян пробрался на сетевой диск и запустил процесс шифрования, т.к. буквально вчера вечером диск начал жутко тормозить, видимо шел активно процесс. Во вложении пример зашифрованного файла: Readme.txt CollectionLog-2016.05.02-16.01.zip Изменено 2 мая, 2016 пользователем cowan Цитата Ссылка на сообщение Поделиться на другие сайты
Elly 3 262 Опубликовано 2 мая, 2016 Share Опубликовано 2 мая, 2016 Правила Цитата Ссылка на сообщение Поделиться на другие сайты
cowan 0 Опубликовано 2 мая, 2016 Автор Share Опубликовано 2 мая, 2016 файл прикрепил! Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 2 мая, 2016 Share Опубликовано 2 мая, 2016 Без тела шифровальщика сказать что-то определенное невозможно Цитата Ссылка на сообщение Поделиться на другие сайты
cowan 0 Опубликовано 2 мая, 2016 Автор Share Опубликовано 2 мая, 2016 А где его найти ? Я подозреваю, что он вычистил сам себя уже.. Кстати под угрозу попал еще NAS с установленным NAS4Free. Предположительно через торрент попал, имхо. Возможно, как думаете? Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 2 мая, 2016 Share Опубликовано 2 мая, 2016 Без понятия. Как вариант - терзать юзеров на предмет запуска чего-то неизведанного Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 2 мая, 2016 Share Опубликовано 2 мая, 2016 Добавлю, что могли ещё удалённо зайти через RDP. Цитата Ссылка на сообщение Поделиться на другие сайты
cowan 0 Опубликовано 2 мая, 2016 Автор Share Опубликовано 2 мая, 2016 Как раз на 2 компах RDP настроен был!!! Средствами винды. До этого RAdmin был, но он часто вылетал, поэтому вернулись к штатному RDP. Похоже отсюда ноги растут... ой!... Цитата Ссылка на сообщение Поделиться на другие сайты
cowan 0 Опубликовано 2 мая, 2016 Автор Share Опубликовано 2 мая, 2016 А вот и ответ босоты: Здравствуйте. Для того, чтобы расшифровать файлы вам необходимо заплатить 1000 рублей. Для этого вам нужно купить ваучер пополнения webmoney на 1000 рублей и сообщить нам его номер и код. Подробнее: http://decifers.host.sk Если вам негде купить ваучер мы можем дать кошелёк для оплаты. Так же мы принимаем биткоины по курсу. После оплаты мы пришлём вам программу для расшифровки с подробной инструкцией. Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 2 мая, 2016 Share Опубликовано 2 мая, 2016 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
cowan 0 Опубликовано 4 мая, 2016 Автор Share Опубликовано 4 мая, 2016 Большое спасибо за ответ, но уже не понадобилось. Диски были форматнуты, а данные восстановлены из бэкапа. Обошлось малой кровью... Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.