ilk006 0 Опубликовано 21 декабря, 2018 Share Опубликовано 21 декабря, 2018 Добрый день! Шифровальщик с обратной почтой зашифровал почти все на компьютере и сетевом хранилище. README.txt следующего содержания: Содержание README.txt: Your files are encrypted!YOUR PERSONAL IDz8yPOcFa6kmp1Gib5f1YLGDT9ao2RugN3rWl5zKn---------------------------------------------------------------------------------Discovered a serious vulnerability in your network security.No data was stolen and no one will be able to do it while they are encrypted.For you we have automatic decryptor and instructions for remediation.---------------------------------------------------------------------------------You will receive automatic decryptor and all files will be restored---------------------------------------------------------------------------------* To be sure in getting the decryption, you can send one file(less than 10MB) to kares@keemail.me or kares@tuta.io In the letter include your personal ID(look at the beginning of this document).Attention!Attempts to self-decrypting files will result in the loss of your dataDecoders other users are not compatible with your data, because each user's unique encryption key--------------------------------------------------------------------------------- Логи приложить не могу т.к. компьютер-источник не загружается и восстанавливать я его не собираюсь. Или нужно как-то попытаться запустить компьютер для сборки логов и проверки с помощью FRST? Способ заражения пока неизвестен, предположительно с рабочей флешки жены. Стоит ли надеяться и искать способы расшифровки или безнадежно? Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 21 декабря, 2018 Share Опубликовано 21 декабря, 2018 (изменено) Что запускали перед появлением проблемы? Изменено 21 декабря, 2018 пользователем mike 1 Ссылка на сообщение Поделиться на другие сайты
ilk006 0 Опубликовано 21 декабря, 2018 Автор Share Опубликовано 21 декабря, 2018 (изменено) Что запускали перед появлением проблемы? Просто серфинг по интернет-магазинам (вполне известным типа Wildberies). Другие машины в сети не пострадали (за исключением NAS-сервера, который успел зашифроваться почти весь). Шифруются все все файлы за редким исключением. На компьютере-жертве злоумышленником была установлена утилитка Don't Sleep. Потом компьютеру заплохело, пропали иконки с рабочего стола и т.д. Только тогда жена мне сказала. Вроде бы несколько дней назад рабочий стол черным становился. Рабочая флешка в компьютере торчала пару дней точно. После перезагрузки машина уже не запустилась т.к. много чего покоцано. До перезагрузки убрал все лишнее в автозагрузке, что-то машинально еще сделал. Штатный виндовый антивирус кстати чем-то был вырублен и отключался при его запуске. С флешки загрузился, ничего интересного не нашел, разве что ясно стало что эта машина - источник заражения. Сейчас пробую найти удаленные файлы, вдруг повезет и файл с ключами найдется. UPD: ничего похожего на файл с ключами не нашлось. На рабочем столе вообще удаленных файлов нет. Проверял с помощью R-Studio. Изменено 21 декабря, 2018 пользователем ilk006 Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 21 декабря, 2018 Share Опубликовано 21 декабря, 2018 Штатный виндовый антивирус кстати чем-то был вырублен и отключался при его запуске. Удаленно скорее всего зашли. Это CryptoConsole 3 версии http://id-ransomware.blogspot.com/2018/04/sequre-ransomware.html. Ссылка на сообщение Поделиться на другие сайты
ilk006 0 Опубликовано 21 декабря, 2018 Автор Share Опубликовано 21 декабря, 2018 UPD2: Имена файлов меняются на примерно такие: 24525833474E54302E657865 (без расширения). Одна из утилит для расшифровки (CryptConsoleDecriptor 2.2.0.0) умеет определять правильное имя исходного файла. Расшифровать - нет.Какими утилитами можно поэкспериментировать? Как можно попробовать определить самого шифровальщика? Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 21 декабря, 2018 Share Опубликовано 21 декабря, 2018 Какими утилитами можно поэкспериментировать? Лучше не экспериментировать, можете убить файлы окончательно. Создайте запрос на расшифровку в техподдержку. Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 21 декабря, 2018 Share Опубликовано 21 декабря, 2018 Нет никаких шансов сломать RNG Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения