Зашифрованы базы 1С

[papakarlo]

Через RDP зашифрованы базы 1С и все что с 1С связано.

 

 

Your files are encrypted!

YOUR PERSONAL ID  qhsEbrD4aBnpkUxBfvUSfD3mygjfS51sdlqwlvYR

---------------------------------------------------------------------------------

Discovered a serious vulnerability in your network security.

No data was stolen and no one will be able to do it while they are encrypted.

For you we have automatic decryptor and instructions for remediation.

For instructions, write to us on one of our mails  Light_Yagami@tuta.io  or  Vash_the_Stampede@keemail.me

---------------------------------------------------------------------------------

You will receive automatic decryptor and all files will be restored

---------------------------------------------------------------------------------

* To be sure in getting the decryption, you can send one file(less than 10MB) to Light_Yagami@tuta.io  or Vash_the_Stampede@keemail.me

In the letter include your personal ID(look at the beginning of this document).

Attention!

Attempts to self-decrypting files will result in the loss of your data

Decoders other users are not compatible with your data, because each user's unique encryption key

 

 

Прошу помощи с расшифровкой.

 

Заранее спасибо

CollectionLog-2018.10.22-15.05.zip

README.txt

files.zip

Изменено 22 октября, 2018 пользователем papakarlo

[thyrex]

Супер, если действительно ключ хотя бы для части Ваших файлов. Ищите все до одного файлы README.txt с сообщениями вымогателей и одним архивом прикрепите к следующему сообщению.

 

+ Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[papakarlo]

Все файлы readme.txt одинаковые, но на всякий случай все высылаю.

FRST.zip

readme.zip

[thyrex]

Весьма странно. Пострадали только файлы на сервере?

Судя по файлу

C:\Users\atc_\Desktop\z5lmaIehrljQZ6AfvUiqyGDHIYNALEzTGFl5UJkP-lan.txt

 

зашли под данным пользователем по RDP и должны были теоретически пострадать и файлы на компьютерах, подключенных в то время к сервееру.

[papakarlo]

Весьма странно. Пострадали только файлы на сервере?

 

Судя по файлу

C:\Users\atc_\Desktop\z5lmaIehrljQZ6AfvUiqyGDHIYNALEzTGFl5UJkP-lan.txt

 

зашли под данным пользователем по RDP и должны были теоретически пострадать и файлы на компьютерах, подключенных в то время к сервееру

 

 

Зашли по RDP через белый IP ((( в сети больше ни одной машины зараженной нет.

[thyrex]

Сделайте лог МВАМ

[papakarlo]

Сделайте лог МВАМ

 

Если это поможет, то осталось еще вот это (размеры файлов указаны не верно)

 

 

23.10.2018  11:57    <DIR>          .

23.10.2018  11:57    <DIR>          ..

03.08.2018  10:38                 0 ...exe

19.12.2017  15:37                 0 1cv8.exe

03.08.2018  20:47                 0 Bat Cleaning.bat

07.05.2017  15:14                 0 H.exe

22.10.2018  09:27                 0 H1.VBS

22.10.2018  09:27                 0 H1.VBS - џа«лЄ.lnk

13.08.2018  11:24                 0 k.exe

02.12.2017  15:39                 0 libcurl-4.dll

23.10.2018  11:57                 0 list.txt

25.04.2018  15:00                 0 pfg.txt

29.03.2016  14:35                 0 ProcessHacker.exe

30.12.2017  03:26                 0 run.vbs

22.10.2018  09:26                 0 sys.bat

05.09.2018  21:10                 0  ў.vbs

mb.txt

Изменено 23 октября, 2018 пользователем papakarlo

[papakarlo]

В связи со сложностью ситуации пришлось заплатить.

 

Запустил дешифровку, пока вроде бы все норм.

 

Если есть необходимость могу отправить в личку.

Изменено 24 октября, 2018 пользователем papakarlo

[thyrex]

Отправьте