mbear 0 Опубликовано 27 июня, 2018 Share Опубликовано 27 июня, 2018 (изменено) Здравствуйте. Судя по всему сломали учетку через RDP, в appdata/roaming пострадавшего юзера лежат файлы 1task.exe и Info.hta. 1task.exe касперский определяет как Trojan-Ransom.Win32.Crusis.to К сожалению зайти на компьютер (win 2012) нет возможности, поскольку троян зашифровал файлы профилей пользователей. В приложенном архиве файлы 1task.exe и Info.hta и пример зашифрованного файла. Возможно ли сделать какие-то выводы на основании этих файлов? Спасибо. Изменено 27 июня, 2018 пользователем mbear Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 27 июня, 2018 Share Опубликовано 27 июня, 2018 Кнопку Загрузить не нажали. Расшифровки этой версии скорее всего нет Ссылка на сообщение Поделиться на другие сайты
mbear 0 Опубликовано 27 июня, 2018 Автор Share Опубликовано 27 июня, 2018 Действительно не нажал. Сообщение от модератора thyrex Скачал, удалил Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 27 июня, 2018 Share Опубликовано 27 июня, 2018 1task.exe удаляйте. Это сам шифратор. С расшифровкой помочь не сможем. Ссылка на сообщение Поделиться на другие сайты
mbear 0 Опубликовано 29 июня, 2018 Автор Share Опубликовано 29 июня, 2018 дешифровщик и пары ключей могут как-то помочь вам в работе? Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 29 июня, 2018 Share Опубликовано 29 июня, 2018 Они уникальные для каждого пострадавшего, если не ошибаюсь. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти