Шифровальщик email-tapok@tuta.io.ver-CL 1.5.1.0.

[itluks]

Вчера поздно вечером на сервер пролез троян, скорее всего по RDP на вирт.машину 1С. После чего в дело вступил шифровальщик: зашифровал большую часть файлов и распространился по сети на машины, где не стоял антивирус Касперского.

 

Все офисные файлы, базы данных, виртуальные диски поменяли название на:

email-tapok@tuta.io.ver-CL 1.5.1.0.id-<далее разные цифровые комбинации>.doubleoffset

 

Подсовывали данные файлы утилите RakhniDecryptor, она не определяет шифровальщик.

Помогите расшифровать, "потеряли" много ценной информации.

 

CollectionLog-2019.03.27-23.59.zip

[thyrex]

Это Cryakl. И скорее всего шансов никаких.

 

Образец зашифрованного файла прикрепите в архиве к следующему сообщению.

[itluks]

Прикрепил зашифрованные файлы.

А что касается отчета, я правильно мыслю, что sys-файлы с цифровыми именами в temp профиля пользователя и системной папке windows - зловреды?

Первый же результат в поиске гугл по .doubleoffset - дешифровка CRYAKL компанией Dr.Shifro. Ради интереса отправил им образцы зашифрованных файлов для бесплатной тестовой расшифровки - пока тишина.

Мошенники?

crypt.zip

Изменено 28 марта, 2019 пользователем itluks

[Sandor]

Мошенники?

Посредники.

[thyrex]

С расшифровкой помочь не сможем.

[itluks]

Создал запрос в компани аккаунт Касперского, ждем-с 7 дней.

А что касается расчистки "мусора", какие-то рекомендации есть?

[itluks]

Раньше не было времени отписаться. Техподдержка Касперского прислала дешифратор. 70-80% от зашифрованного восстановили.