Шифратор с почтой kares@keemail.me

[ilk006 0]

Добрый день!

Шифровальщик с обратной почтой зашифровал почти все на компьютере и сетевом хранилище.

 

README.txt следующего содержания:

 

Содержание README.txt:

Your files are encrypted!
YOUR PERSONAL ID
z8yPOcFa6kmp1Gib5f1YLGDT9ao2RugN3rWl5zKn
---------------------------------------------------------------------------------
Discovered a serious vulnerability in your network security.
No data was stolen and no one will be able to do it while they are encrypted.
For you we have automatic decryptor and instructions for remediation.
---------------------------------------------------------------------------------
You will receive automatic decryptor and all files will be restored
---------------------------------------------------------------------------------
* To be sure in getting the decryption, you can send one file(less than 10MB) to kares@keemail.me or kares@tuta.io In the letter include your personal ID(look at the beginning of this document).
Attention!
Attempts to self-decrypting files will result in the loss of your data
Decoders other users are not compatible with your data, because each user's unique encryption key
---------------------------------------------------------------------------------

 

Логи приложить не могу т.к. компьютер-источник не загружается и восстанавливать я его не собираюсь.

Или нужно как-то попытаться запустить компьютер для сборки логов и проверки с помощью FRST?

 

Способ заражения пока неизвестен, предположительно с рабочей флешки жены.

 

Стоит ли надеяться и искать способы расшифровки или безнадежно?

 

 

[mike 1 1 044]

Что запускали перед появлением проблемы?

Изменено 21 декабря, 2018 пользователем mike 1

[ilk006 0]

Что запускали перед появлением проблемы?

 

Просто серфинг по интернет-магазинам (вполне известным типа Wildberies). Другие машины в сети не пострадали (за исключением NAS-сервера, который успел зашифроваться почти весь). Шифруются все все файлы за редким исключением. На компьютере-жертве злоумышленником была установлена утилитка Don't Sleep. Потом компьютеру заплохело, пропали иконки с рабочего стола и т.д. Только тогда жена мне сказала. Вроде бы несколько дней назад рабочий стол черным становился. Рабочая флешка в компьютере торчала пару дней точно. После перезагрузки машина уже не запустилась т.к. много чего покоцано. До перезагрузки убрал все лишнее в автозагрузке, что-то машинально еще сделал. Штатный виндовый антивирус кстати чем-то был вырублен и отключался при его запуске. С флешки загрузился, ничего интересного не нашел, разве что ясно стало что эта машина - источник заражения. Сейчас пробую найти удаленные файлы, вдруг повезет и файл с ключами найдется. 

UPD: ничего похожего на файл с ключами не нашлось. На рабочем столе вообще удаленных файлов нет. Проверял с помощью R-Studio.

Изменено 21 декабря, 2018 пользователем ilk006

[mike 1 1 044]

 

 

Штатный виндовый антивирус кстати чем-то был вырублен и отключался при его запуске.

Удаленно скорее всего зашли. Это CryptoConsole 3 версии http://id-ransomware.blogspot.com/2018/04/sequre-ransomware.html. 

[ilk006 0]

UPD2: Имена файлов меняются на примерно такие: 24525833474E54302E657865 (без расширения). Одна из утилит для расшифровки (CryptConsoleDecriptor 2.2.0.0) умеет определять правильное имя исходного файла. Расшифровать - нет.
Какими утилитами можно поэкспериментировать? Как можно попробовать определить самого шифровальщика?

[mike 1 1 044]

 

 

Какими утилитами можно поэкспериментировать?

Лучше не экспериментировать, можете убить файлы окончательно. Создайте запрос на расшифровку в техподдержку. 

[thyrex 1 412]

Нет никаких шансов сломать RNG