шифровальщик xser@tutanota.com

[admi.dk]

Добрый день!

06.06.2018г. был зашифрован пк. файлы на компьютере стали с маской xser@tutanota.com

Каким образом произошла шифрация неизвестно, никаких конкретных действий по запуску тела вируса не производилось.

Зашифрованы не все файлы на компьютере, некоторые остались не тронутыми (даже word и pdf).

Пожалуйста, помогите расшифровать.

Логи в прикрепленном архиве

[kmscom]

повторите прикрепление архива

[admi.dk]

прикрепляю архив повторно

CollectionLog-2018.06.17-17.20.zip

[thyrex]

Каким образом произошла шифрация неизвестно

Подобрали пароль от RDP и зашли.

 

Примеры зашифрованных файлов и файл README.txt от вымогателей прикрепите в архиве к следующему сообщению.

 

+ Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[admi.dk]

примеры зашифрованных файлов и readme в прикрепленных файлах

шифр са.7z

[thyrex]

Всегда читаете только первое предложение? Запрошенные логи где?

[admi.dk]

логи

логи в архиве

Addition.txt

FRST.txt

Archive.7z

[thyrex]

Ищите все до единого файлы README.txt и прикрепляйте в архиве к следующему сообщению. Если есть другие пострадавшие компьютеры, связанные с данным, нужны файлы и с этих компьютеров

[admi.dk]

зашифрован только этот пк.

в прикрепленном файле архив с readme-требования мошенников. 

нужны ли файлы readme, например из папки program files, не тронутые шифрацией?

readme.7z

[thyrex]

нужны ли файлы readme, например из папки program files, не тронутые шифрацией?

Если в них такое же сообщение от вымогателей, то нужны.

 

Тут все дело в том, что этот шифратор не всегда переименовывает файлы после шифрования. Так что если в папке есть правильные README.txt от вымогателей, то есть шанс, что и шифрованные файлы тоже будут

[admi.dk]

readme в которых было сообщение от вымогателей все высланы,

 

не высланы те в которых текст не от вымогателей (например лицензионное соглашение canon в папке program files. как был до шифрования текст соглашения так и остался после шифрования).

[thyrex]

Проверьте ЛС

[admi.dk]

первая проба:

из 10 000 файлов расшифровалось 70.

логи дешифратора в прикрепленном файле

CryptConsoleDecrypter-log.zip

[thyrex]

Пришлите этот файл

C:\Users\User\Desktop\копия 1с хтр еп 180815\1SBDB_ХолдингТехРесурс\ExtForms\Rp11q4.grp\xser@tutanota.com_3532616B63697A332E786C73

 

[admi.dk]

в прикрепленном файле

Новая папка.7z