mbear Опубликовано 27 июня, 2018 Опубликовано 27 июня, 2018 (изменено) Здравствуйте. Судя по всему сломали учетку через RDP, в appdata/roaming пострадавшего юзера лежат файлы 1task.exe и Info.hta. 1task.exe касперский определяет как Trojan-Ransom.Win32.Crusis.to К сожалению зайти на компьютер (win 2012) нет возможности, поскольку троян зашифровал файлы профилей пользователей. В приложенном архиве файлы 1task.exe и Info.hta и пример зашифрованного файла. Возможно ли сделать какие-то выводы на основании этих файлов? Спасибо. Изменено 27 июня, 2018 пользователем mbear
thyrex Опубликовано 27 июня, 2018 Опубликовано 27 июня, 2018 Кнопку Загрузить не нажали. Расшифровки этой версии скорее всего нет
mbear Опубликовано 27 июня, 2018 Автор Опубликовано 27 июня, 2018 Действительно не нажал. Сообщение от модератора thyrex Скачал, удалил
thyrex Опубликовано 27 июня, 2018 Опубликовано 27 июня, 2018 1task.exe удаляйте. Это сам шифратор. С расшифровкой помочь не сможем.
mbear Опубликовано 29 июня, 2018 Автор Опубликовано 29 июня, 2018 дешифровщик и пары ключей могут как-то помочь вам в работе?
thyrex Опубликовано 29 июня, 2018 Опубликовано 29 июня, 2018 Они уникальные для каждого пострадавшего, если не ошибаюсь.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти