BSMP 0 Опубликовано 3 августа, 2018 Share Опубликовано 3 августа, 2018 Здравствуйте, необходимо расшифровать. Есть копии файлов до и после зашифровки (несколько терабайт многих расширений документов), только этого не нашли. Если лицензия на корпоративного Касперского. Файл для расшифровки. аукционная документация ремонт.docxdecode77@sfletter.com.zip Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 529 Опубликовано 3 августа, 2018 Share Опубликовано 3 августа, 2018 Порядок оформления запроса о помощи Ссылка на сообщение Поделиться на другие сайты
BSMP 0 Опубликовано 3 августа, 2018 Автор Share Опубликовано 3 августа, 2018 Логи CollectionLog-2018.08.03-21.55.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 3 августа, 2018 Share Опубликовано 3 августа, 2018 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
BSMP 0 Опубликовано 4 августа, 2018 Автор Share Опубликовано 4 августа, 2018 (изменено) Прикрепил Addition.txt FRST.txt Изменено 4 августа, 2018 пользователем BSMP Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 4 августа, 2018 Share Опубликовано 4 августа, 2018 С 20 июля пытались сами восстановить? C:\Users\kdl\Desktop\README.txt C:\README.txt файлы с сообщением от вымогателей? Ссылка на сообщение Поделиться на другие сайты
BSMP 0 Опубликовано 4 августа, 2018 Автор Share Опубликовано 4 августа, 2018 Сообщение от вымогателей Да, из бэкапа. README.txt Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 4 августа, 2018 Share Опубликовано 4 августа, 2018 На первое предложение в моей предыдущем сообщении не обратили внимания. Жду ответ Ссылка на сообщение Поделиться на другие сайты
BSMP 0 Опубликовано 4 августа, 2018 Автор Share Опубликовано 4 августа, 2018 Да, из бэкапа. Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 4 августа, 2018 Share Опубликовано 4 августа, 2018 Если хотите попытаться сбрутить ключ на своем сервере, могу выслать инструкцию в ЛС. Понадобится пара шифрованный файл-незашифрованный оригинал + время брута будет очень долгим даже на весьма мощном компьютере Ссылка на сообщение Поделиться на другие сайты
BSMP 0 Опубликовано 4 августа, 2018 Автор Share Опубликовано 4 августа, 2018 Хорошо, давайте. На сколько долгим? Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 4 августа, 2018 Share Опубликовано 4 августа, 2018 Минимум месяц или чуть больше, максимум - более полугода Ключ генерируется в зависимости от счетчика таймера на момент генерации. Не думаю, что сервер у Вас выключается на ночь, что позволило бы сузить интервал перебора. Продолжаем? Ссылка на сообщение Поделиться на другие сайты
BSMP 0 Опубликовано 4 августа, 2018 Автор Share Опубликовано 4 августа, 2018 Давайте Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 4 августа, 2018 Share Опубликовано 4 августа, 2018 Проверьте ЛС У автора на 4-хядерном i5 он проверял порядка 600 ключей в секунду. Всего вариантов чуть более 2,1 миллиарда. Если получится, сообщите результат. ==== Добавлено ==== Судя по логу, шифрование шло под пользователем kdl (в одном логе этот профиль есть, в другом почему-то нет) и посреди рабочего дня. Пользователь сам что-то запускал или внаглую зашли под его учеткой по RDP? Предположительное имя файла шифровальщика svhost.exe. В логах сервера посмотреть это реально? Ссылка на сообщение Поделиться на другие сайты
BSMP 0 Опубликовано 4 августа, 2018 Автор Share Опубликовано 4 августа, 2018 (изменено) Большое спасибо за помощь. Изменено 4 августа, 2018 пользователем BSMP Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти