Шифровальщик helps@tutanota.com

[thyrex]

Это значит, что есть еще как минимум один ключ, которым зашифровались некоторые файлы.

 

Ищите все до одного файлы с сообщениями вымогателей (искать нужно на всех пострадавших машинах, если их несколько) и прикрепите в архиве к следующему сообщению

[alexiy4ever]

Беда...

 

Искать все readme.hta ? 

с другим Your personal ID ?

Дешифратор при этом выдает старые названия имен файлов правильно

Если б была 2я дешифровка он бы выдавал старое наверно тоже уже зашифрованное?

 

Просто чтот я сомневаюсь что вирус бил файлы 1 через 5, а второй не трогал уже зафрованные и бил остальные...

 

Сори если что, я не в теме

[thyrex]

Вы пришлите все файлы README.hta, а второй ID я и сам отыщу

[alexiy4ever]

Нашел с другиим ID

 

Позже скину архив со всеми

UPD Вроде все накопал

README.rar

ReadmeAll.rar

Изменено 5 июня, 2018 пользователем alexiy4ever

[thyrex]

Отвечу уже из дому

Второй ключ отправлен в ЛС

[alexiy4ever]

Successfully decrypted 3236 files!

 

Самое важное расшифровано (зарплатные базы 1С), завтра проверю остальное

 

Низкий земной поклон вам, спаситель, посланник из волшебного мира Decrypter 

[thyrex]

Окончательный результат расшифровки сообщите

[alexiy4ever]

Successfully decrypted 12678 files!

Skipped 765 files

 

Это была папка с фотками, доками и сканами. В принципе ничего важного среди 765 пропущенных нет.

 

Главное базы 1С работают, бухгалтера сегодня проверили.

 

На этом все, тема закрыта.

 

Еще раз огромная благодарность, thyrex   

[thyrex]

Skipped 765 files

Пробовали обоими ключами?

[alexiy4ever]

да, обоими

[thyrex]

А примеры таких файлов прикрепите в архиве к следующему сообщению.

 

+ Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[alexiy4ever]

Я хз как это, дикриптор в последней папке (Successfully decrypted 12678 files! Skipped 765 files) непонятно почему их пропустил. Часть подпапок расшифрована, а часть нет. Я сейчас вручную указываю ему эти подпапки и он их расшифровывает

 

UPD Он пропустил все папки с А до К (до папки Карина), но расшифровал все папки дальше причем тоже от К (от папки Кирилл). Я указал каждую папку по отдельности, он их все расшифровал по отдельности. Суммарно как раз около 765 и получилось. Видать просто глюк. Или были проблемы с доступом так как папка сетевая.

Сейчас все расшифровано.

Изменено 7 июня, 2018 пользователем alexiy4ever

[thyrex]

Ждем лог SecurityCheck

[alexiy4ever]

Лог файлового сервера 2003 х32:

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 07.06.2018 11:31:03
Path starting: C:\Documents and Settings\drt\Local Settings\Temp\1\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: drt
VersionXML: 5.10is-03.06.2018
___________________________________________________________________________

Windows 2003(5.2.3790) Service Pack 2 (x86) Lang: Russian(0419)
Дата установки ОС: 15.11.2010 11:22:55
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [200 Гб] Занято: [12.4 Гб] Свободно: [187.6 Гб]
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.07.2015, Ваша операционная система может быть уязвима к новым типам угроз
Service Pack 2 Внимание! Скачать обновления
^Возможно потребуется повторная активация Windows^
Internet Explorer 6.0.3790.3959 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Автоматическое обновление отключено (-1)
Автоматическое обновление (wuauserv) - Служба остановлена
Удаленный реестр (RemoteRegistry) - Служба работает
Службы терминалов (TermService) - Служба работает
------------------------------- [ HotFix ] --------------------------------
HotFix KB3197835 Внимание! Скачать обновления
HotFix KB4012583 Внимание! Скачать обновления
HotFix KB4022747 Внимание! Скачать обновления
HotFix KB4024323 Внимание! Скачать обновления
HotFix KB4025218 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
7-Zip 4.65
------------------------------- [ Browser ] -------------------------------
Google Chrome v.49.0.2623.112 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
----------------------------- [ End of Log ] ------------------------------

 

 

На терминальном сервере чек не запустился, "Ваша версия виндовс Windows2008R2 x64 не поддерживается программой"

 

Но я и так могу сказать что все отключено так как раньше на серваках стоял Kaspersky Security Center 10, но лицензия еще с февраля прошлого года истекла, а директора платить 80к за продление на 100 компов и 10 серваков не захотели

Изменено 7 июня, 2018 пользователем alexiy4ever

[thyrex]

Выполните рекомендованное, и на этом закончим.

 

Файлы с сообщениями от вымогателей удалите вручную