the dmr LIZARD MrDecrypter@yandex.com

[ВасилийВасильевич 0]

Здравствуйте.

У нас 29.01.2021 зашифровались вымогателем почти все необходимые для работы файлы на компьютере с Windows 10 x64.

Обнаружили это сегодня 01.02.2021.

В диспетчере задач видны 2 отключенных сеанса пользователя user с правами Администратор, которого у нас не было.

Поменял ему пароль и права сменил на Пользователь.

Прикреплены:

- отчёты программы FRST64.exe,

- архив, содержащий шифрованный и исходный файл в формате PDF,

- архив, содержащий шифрованный и исходный файл в формате ZIP,

- письмо вымогателя в формате TXT,

- скриншот Диспетчера задач в формате PNG.

Помогите, пожалуйста, расшифровать. Очень нужны файлы для срочных отчётов.

FRST.txt Addition.txt PDF_EncryptedPDF.ZIP ZIP.ZIP #ReadThis.TXT

[Sandor 896]

Здравствуйте!

 

Расшифровки этой версии вымогателя нет.

 

34 минуты назад, ВасилийВасильевич сказал:

Поменял ему пароль и права сменил на Пользователь.

Вы это сделали до логов или после? Так как пока видны права администратора:

Цитата

H (S-1-5-21-3850514150-3185147947-2880660336-1005 - Administrator - Enabled) => C:\Users\H.HOL
HO (S-1-5-21-3850514150-3185147947-2880660336-1000 - Administrator - Disabled) => C:\Users\U
HOLO (S-1-5-21-3850514150-3185147947-2880660336-1004 - Administrator - Disabled) => C:\Users\H
user (S-1-5-21-3850514150-3185147947-2880660336-1001 - Administrator - Enabled) => C:\Users\TEMP
Администратор (S-1-5-21-3850514150-3185147947-2880660336-500 - Administrator - Enabled) => C:\Users\Администратор

 

[ВасилийВасильевич 0]

Вначале снял логи, потом посмотрел пользователя и заменил права с паролем, но не сбрасывал его отключенное подключение до сих пор.