Шифровальщик support@decrypt-files.info

[bluesrocker]

Прошу помощи в восстановлении информации, зашифрованной злоумышленником

support@decrypt-files.info

 

Расширения файлов разные (xyz, xyy, vww и т.д.)

Предположительно, ПК был атакован взломом пароля от RDP (т.е. имел место быть непосредственный доступ к информации).

 

Лог прилагаю, надеюсь на помощь

CollectionLog-2018.10.17-10.49.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[bluesrocker]

@thyrex,

FRST.zip

[thyrex]

Папки

2018-10-17 12:40 - 2018-10-17 12:40 - 000000000 ____D C:\ProgramData\sb6s
2018-10-17 12:36 - 2018-10-17 12:36 - 000000000 ____D C:\ProgramData\s6f8
2018-10-17 12:36 - 2018-10-17 12:36 - 000000000 ____D C:\ProgramData\s1fk
2018-10-17 12:35 - 2018-10-17 12:35 - 000000000 ____D C:\ProgramData\s9rk
2018-10-17 12:35 - 2018-10-17 12:35 - 000000000 ____D C:\ProgramData\s61s
2018-10-17 12:35 - 2018-10-17 12:35 - 000000000 ____D C:\ProgramData\s57g

 

и файл

2018-10-17 10:38 - 2018-10-17 10:38 - 001660472 _____ C:\Users\Пользователь\Desktop\winbox.exe

 

Вам известны?

Что в папке C:\Decrypt ?

[bluesrocker]

@thyrex,

2018-10-17 12:40 - 2018-10-17 12:40 - 000000000 ____D C:\ProgramData\sb6s
2018-10-17 12:36 - 2018-10-17 12:36 - 000000000 ____D C:\ProgramData\s6f8
2018-10-17 12:36 - 2018-10-17 12:36 - 000000000 ____D C:\ProgramData\s1fk
2018-10-17 12:35 - 2018-10-17 12:35 - 000000000 ____D C:\ProgramData\s9rk
2018-10-17 12:35 - 2018-10-17 12:35 - 000000000 ____D C:\ProgramData\s61s
2018-10-17 12:35 - 2018-10-17 12:35 - 000000000 ____D C:\ProgramData\s57g

 

неизвестны

 

winbox - утилита управления роутером - скачал, чтобы закрыть порт

 

в папке Decrypt образцы файлов для отправки в саппорты по расшифровке

 

Я параллельно выполнял сбор информации от техподдержки Касперского

 

Само заражение было чуть позднее в 7 утра, о чем свидетельствуют даты зашифрованных файлов и время самого логона по RDP

Изменено 17 октября, 2018 пользователем bluesrocker

[thyrex]

Тогда эти папки удалите, сообщения вымогателей для связи тоже. Нашими силами расшифровка невозможна, продолжайте общение с техподдержкой.