Файлы зашифрованы "Gust"

[Dkmgpu]

Здравствуйте. Была взломана учетная запись с правами доменного администратора. Затем запущено шифрование на рабочей станции, а затем и на серверах. 

CollectionLog-2018.07.25-14.42.zip

Замок Сфорца.docx.zip

[thyrex]

С расшифровкой помочь не сможем. Будет только зачистка возможных следов мусора.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[regist]

@Dkmgpu, + просьба

Выполните в AVZ скрипт:

begin
 ExpRegKey('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers','ShellIconOverlayIdentifiers.txt');
 ExpRegKey('HKEY_CLASSES_ROOT','CLSID\{9AA2F32D-362A-42D9-9328-24A483E2CCC3}','CLSID.txt');
end.

Файлы: ShellIconOverlayIdentifiers.txt и CLSID.txt из папки с AVZ упакуйте в архив и прикрепите к своему следующему сообщению.

[Dkmgpu]

Если у нас есть несколько сотен файлов зашифрованных и их не зашифрованных копий из архива, можно ли подобрать ключ для остальных файлов?

[thyrex]

Нет