rotorcrypt шифровальщик hamil8642@gmail.com___.GRANIT

[Magikanin]

Добрый день. Зашифровали много файлов на сервере. Письма вымогателя не нашел. Прошу помощи в расшифровке файлов. Файл автологера во вложении

Заранее благодарен.

CollectionLog-2017.01.16-03.03.zip

[Sandor]

Здравствуйте!

 

Логи сделаны в терминальной сессии, сделайте их из консоли.

[Magikanin]

В приложении логи из консоли.

CollectionLog-2017.01.16-17.26.zip

[Sandor]

Запущено от имени администратора, но по-прежнему из терминальной сессии:

AVZ запущен из терминальной сессии (RDP-Tcp#0)

[Magikanin]

Подключился в существующую терминальную сессию.

Сейчас сделал из консоли.

CollectionLog-2017.01.17-11.11.zip

[Sandor]

Файл

C:\Windows\PreInstall\uddisrw.exe

Вам известен?

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Magikanin]

файл не знаком.

 

В приложении отчеты.

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
ShortcutTarget: ItKPElOr.lnk -> C:\Users\administrator.EHINACEYA\AppData\Local\Temp\vcBqnoNi.exe (No File)
GroupPolicy: Restriction <======= ATTENTION
2017-01-15 01:03 - 2016-11-15 13:40 - 00075776 _____ C:\Users\test\AppData\Local\Temp\vcBqnoNi.exe
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перегрузите компьютер вручную.

Подробнее читайте в этом руководстве.

[Magikanin]

Компьютер перезагрузился сам, после завершения операции.

 

fixlog прилагаю

Fixlog.txt

[Sandor]

Создайте запрос на расшифровку.

[Magikanin]

создал. а шансы есть?

Еще вижу что сервер сам к себе пароль подобрать пытается. т.е. еще чтото в сервере осталось.

 

Пример логов:

An account failed to log on.

Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0

Logon Type: 3

Account For Which Logon Failed:
Security ID: NULL SID
Account Name: ANDROID
Account Domain:

Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xc000006d
Sub Status: 0xc0000064

Process Information:
Caller Process ID: 0x0
Caller Process Name: -

Network Information:
Workstation Name:
Source Network Address: -
Source Port: -

Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0

 

 

Также под пользователем test установлен блокиратор рабочего стола. пока не удаляю. Ожинаю рекоменаций касперского. Очень надеюсь вернуть файлы. А сервер переустановить всегда можно.

Изменено 18 января, 2017 пользователем Magikanin