Расшифровать файлы

[sysmgv113 0]

Компания "МЕТА" являемся пользователями  продукта:

Kaspersky Small Office Security Desktop International Edition: 14 Desktops; Kaspersky
Small Office Security 7.0 File Server Protection : 1 FileServer; Kaspersky Password
Manager: 14 Users; Kaspersky Internet Security for Android: 14 Mobile devices

 

На экране Server 2003 (легальная копия) появилось сообщение:

All your files have been encrypted! All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail 3441546223@qq.com Write this ID in the title of your message C4A32041 In case of no answer in 24 hours write us to theese e-mails:3441546223@qq.com You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.

И на всех дисках файлы оказались зашифрованы вирусом шифровальщиком.

Помогите с расшифровкой, пожалуйста.

Лог прилагаю

https://cloud.mail.ru/public/2oFq/rHWu4dC1S

[thyrex 1 468]

Перечитайте правила раздела и пришлите необходимый комплект логов.

Логи прикрепите к следующему сообщению на форуме.

[sysmgv113 0]

Добрый день. Извиняюсь, на другом ПК у меня не отображалась строка "Перетащите файлы...", поэтому отправил ссылкой на "Облако".

virusinfo_syscheck[1].zip

[thyrex 1 468]

Еще раз про правила 

 

[sysmgv113 0]

Добрый день. Извиняюсь, на другом ПК у меня не отображалась строка "Перетащите файлы...", поэтому отправил ссылкой на "Облако".

 

Но в правилах указан только файл (zip) от Сборщика логов AVZ, я не понимаю, извините меня, о чём идёт речь?

[thyrex 1 468]

Ну вот и сравните, что должно получиться, с тем, что присылаете Вы. Вы даже не потрудились запустить автосборщик, а вместо этого собираете только лог AVZ.

 

Заодно и пример шифрованного файла в архиве прикрепите к следующему сообщению. Есть подозрение, что с расшифровкой помочь не сможем.

[sysmgv113 0]

Ну, да тупанул чего-то. не то прислал.

CollectionLog-2020.05.12-15.58.zip

 

У меня есть 2 подозрительных файла (после удаления их из памяти ПК исчезли уведомления от вымогателей),  сканер их не распознал на диске, может потому, что я им изменил Расширение файла. Скажите как - пришлю.

[sysmgv113 0]

Зашифрованные файлы 2 штуки

7-Zip File Manager.lnk.id-C4A32041.[3441546223@qq.com].ncov readme.txt.id-C4A32041.[3441546223@qq.com].ncov

[thyrex 1 468]

Моё предположение оказалось верным - расшифровки файлов после данного шифровальщика нет ни у одной антивирусной компании. Если нужна дальнейшая зачистка следов мусора, дайте знать.

[MorozOff 0]

У антивирусных компаний нету, а у частных компаний есть, отправлял им эти файлы и присылали расшифрованные, но ценник там конский

[thyrex 1 468]

Это посредники, которые в доле со злодеями.

[sysmgv113 0]

Цитата

7 часов назад, thyrex сказал:

Моё предположение оказалось верным - расшифровки файлов после данного шифровальщика нет ни у одной антивирусной компании. Если нужна дальнейшая зачистка следов мусора, дайте знать.

Скажите, можно ли из присланных Логов понять Источник, Начало заражения?

 

[thyrex 1 468]

Наверняка был  вход по RDP в нерабочее время (можно посмотреть по времени появления зашифрованных файлов) после подбора пароля. 

[sysmgv113 0]

Я пока, тоже этой схемы заражения придерживаюсь. Неужели это какая-то новая Зараза, что дешифровать не удалось, или никто и не пытался?

[thyrex 1 468]

Это одна из многочисленных версий CrySus, для которых нет расшифровки. Расшифровка самых ранних версий появилась только после слива ключей самими злоумышленниками.