зишифровал tutanova (zeman@tutanota.de)

[Seoul]

Здравствуйте.

 

Ночью зашифровались сетевые диски на сервере. На данный момент не удалось вычислить комп, на котором запустился шифратор, т.к. ни на одном компе в сети ничего не зашифровано, только на сервере. Скорее всего rdp 

 

Прилагаю логи от Farbar 

С вероятностью 99% через rpd. Файлы How Decrypt Files.hta все автор один пользователь который имел rpd с слабым паролем.

Провел сканирование AVZ, отправил отчет-архив.

 

upd. 

Kaspersky Virus Removal Tool ничего не нашел.

 

Autologger не удается запустить по rdp.

Изменено 29 мая, 2018 пользователем Seoul

[thyrex]

Autologger нужно запускать прямо за компьютером из локальной сессии

[Seoul]

К сожалению прямо сейчас нет возможности. Подскажите пожалуйста что-то я могу сделать прямо сейчас удаленно?

[thyrex]

Логи Farbar прикрепите хотя бы тогда

[Seoul]

Логи Farbar прикрепите хотя бы тогда

 

Прилагаю логи autologger и  farbar. Извините думал он был приложен.

1.zip

CollectionLog-2018.05.29-11.41.zip

[thyrex]

Образец зашифрованного файла вместе с сообщением от вымогателей прикрепите в архиве к следующему сообщению

[Seoul]

Приложил файл и письмо вымогателя в архиве

Прилагаю пару файлов, оригинал и зашифрованная версия.

crypted_file_seoul.zip

pair_files.zip

[thyrex]

Ожидайте

 

 

Проверьте ЛС

Изменено 29 мая, 2018 пользователем thyrex

[Seoul]

Доброго времени суток всем.

 

Дешифратор работает, на данный момент расшифровал достаточно большие базы The Bat. Письма видны и доступны. Продолжаю дешифровку.

 

Большое спасибо за помощь.

[thyrex]

Окончательный результат сообщите.

[Seoul]

Все файлы расшифрованы. Письма от вымогателей планирую удалить через поиск тотал командера.

 

Большое спасибо за помощь.

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.