helps@tutanota.com - шифровальщик

[g0105 0]

Доброго дня, 29 мая 2018г. был взломан наш сервер Win2012r2 (все обновления на данную дату присутствуют), похоже по RDP. У пользователя был слишком легкий пароль. В логах видно кучу коннектов по RDP, похоже подбор пароля. RDP висел на нестандартном порту, но это не помешало))

 

Прошу в помощи расшифровать файлы, файлы выглядят вот так:

helps@tutanota.com_323242454B2E377A
helps@tutanota.com_456E7679626F785F2E657865
helps@tutanota.com_48505F456C697465626F6F6B5F32353430705F66756C6C5F62315F73315F76312E746962
helps@tutanota.com_536C61636B53657475702E657865
helps@tutanota.com_5468756D62732E6462
helps@tutanota.com_77696E377836342D6F6E655F66756C6C5F62315F73315F76312E746962
helps@tutanota.com_D09AD0B0D180D182D0B8D0BDD0BAD0B02E706E67

и т.д.

 

Предположение, что взлом именно по RDP потому-что файлы зашифрованные в папках доступных только этому пользователю.

Также при обнаружении в диспетчере висел процесс DontSleep_p.exe который я сразу завершил, лежал файлик в документах текущего пользователя.

Cнял логи)

[kmscom 2 288]

создали свою тему - хорошо. но перед созданием нужно внимательно прочитать и аккуратно выполнить указания в теме «Порядок оформления запроса о помощи».