Шифровальщик в имена файлов дописал [graff_de_malfet@protonmail.ch][123].[F08F4EB7-E5D44F4E]

[VladDr 0]

Поймали шифровальщик на сервере, в имена файлов дописано [graff_de_malfet@protonmail.ch][123].[F08F4EB7-E5D44F4E].

и в папках создан файл how_to_decrypt.hta

Похоже действовал через RDP с другого компьютера в локальной сети так как зашифрованы не только шары. 

Утилита KVRT.exe следов не нашла, сервер от сети пока изолирован.

Файлы нужно дешифровать, подскажите что делать? 

 

CollectionLog-2020.05.08-10.06.zip

[thyrex 1 411]

Логи нужны с компьютера, ставшего источником шифрования.

 

Образец зашифрованного файла прикрепите в архиве к следующему сообщению.

[VladDr 0]

Источник найти не можем, возможно это ноут одного из пользователей.

 

Бланк отчета по процедурам.docx[graff_de_malfet@protonmail.ch][123].zip

 

Могу в личку скинуть пример файла защифрованного и файла-информера how_to_decrypt.hta в папке с зашифрованными файлами  и оригинала из бэкапа, если это поможет.

[thyrex 1 411]

Свежайшая версия 1.9.2.1. Увы, расшифровки нет и вряд ли появится в обозримом будущем.