словили шифровальщик

[melekhin]

утилиты с сайты не помогают, прилагаю архив с текстом вымогателей и зашифрованный файл и нормальную его версию

 

Desktop.rar

[Sandor]

Здравствуйте!

 

Для начала выполните Порядок оформления запроса о помощи

 

Расшифровка будет в конце.

[melekhin]

мы не выявили на каком компе работает шифровальщик, есть только зашифрованные шары пользователей с общим доступом, может подскажете как найти источник ?

[Sandor]

шары пользователей с общим доступом

Закрывайте их, или задайте пароль на запись.

 

Компьютеров много? Вижу два варианта: на каждом запускаете полную проверку антивирусом с обновленными базами, либо для каждого создаете здесь отдельную тему и собираете логи по правилам.

[melekhin]

Здравствуйте!

 

Для начала выполните Порядок оформления запроса о помощи

 

Расшифровка будет в конце.

 

вот чтото собрал на одном компьютере где была открыта папка в доступ и её зашифровал вирус

CollectionLog-2017.11.16-21.48.zip

[Sandor]

Логи сделаны в терминальной сессии, сделайте их из консоли (непосредственно на самом компьютере, в крайнем случае через teamviewer).

[melekhin]

не получается по удалёнке сделать... у нас уже 22-30, завтра уже сделаю из консоли, у вас круглосуточная поддержка или по московскому расписанию? у нас +10гмт

логи нужно со всех компьютеров где была расшаренная папка ?

[Sandor]

Уточняю - тут не ТП, а форум и мы такие же пользователи, только обученные

 

логи нужно со всех компьютеров где была расшаренная папка ?

Конечно, желательно проверить все. Судя по логам, у Вас KES, поэтому можете запустить на всех полную проверку.

Если решите проверять здесь, напоминаю, один ПК - одна тема.

[melekhin]

компов больше 100 и где то ещё стоит каспер 6 версии... для того чтобы вы помогли с дешифровкой нужен заражёный компьютер ? или хватит пары файлов оригинал и зашифрованый?

[Sandor]

Проверьте личные сообщения.

[melekhin]

нашли алгоритм получения ключа дешифровки! ходим дешифруем   спасибо вам большое за наводку!!! можем выслать бутылку коньяка, напишите почтовый адрес!!!

[melekhin]

https://1drv.ms/i/s!AoXdJAxRN-6BhpUjrVXKFajcHRJXGg

 

https://1drv.ms/i/s!AoXdJAxRN-6BhpUkvHfoB7994_oenQ

 

вот сфотал результат работы утилиты

 

А почему касперский для windows server их не отловил? и значок серый! как сделать его красным? в сервере администрирования я не нашёл как создать политику для этой версии kaspersky security...

[Sandor]

сфотал результат работы утилиты

Лучше бы сохранили результат в текстовый файл. И разве шла речь про MBAM?

 

На этом же компьютере запустите Autologger по правилам и прикрепите полученный CollectionLog.

[melekhin]

вот

CollectionLog-2017.11.20-17.05.zip

[Sandor]

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.