Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Зашифровали файлы через RDP [kingkong2@tuta.io]

EvgeniyR
 Поделиться

Рекомендуемые сообщения

EvgeniyR

EvgeniyR

Опубликовано
Опубликовано

Поймали шифровальщик [kingkong2@tuta.io] на 2 копьютера. Пользователи сообщили, что начали пропадать файл. 1 компьютер зашифрован полностью  . 2 компьютер был сразу же выключен, на нем пострадало талька часть файлов. Есть шанс расшифровать?

логи анализа, сообщение о выкупе  и зашифрованные файл прилагаю

FRST.txt Новый1.zip ransom_message .txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано (изменено)

На сервере не вижу в автозагрузке активных файлов шифровальщика. Вероятно при шифровании пострадали только файлы в сетевых папках. Попробуйте сделать логи из обычного режима. Для второго компьютера создайте отдельную тему. Там компьютер заражен. На клиентском компьютере заблокируйте учетную запись john и изолируйте его на время лечения. 

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано (изменено)

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: 
    SystemRestore: ON
CreateRestorePoint:
HKLM\...\Winlogon: [LegalNoticeCaption] Information...
HKLM\...\Winlogon: [LegalNoticeText] to return the Data, write to us by mail - kingkong2@tuta.io
Startup: C:\Users\superuser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mystartup.lnk [2021-04-02]
ShortcutTarget: mystartup.lnk -> C:\Users\eryzhkin\AppData\Local\Temp\RESTORE_FILES_INFO.txt (Нет файла)

     

  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано

Тогда сделайте запрос на расшифровку в техподдержку вашего вендора. В Вашем случае это Eset. На форуме с расшифровкой файлов помочь не сможем. 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Denys Kordelski
      Шифровальщик Hunter-X@tuta.io].HUNTER
      Автор Denys Kordelski
      ??? Какой утилитой можно спасти Фалы с расширением - [Hunter-X@tuta.io].HUNTER             Которые появились после вируса шифровщика.. Был бы очень благодарен за пмошь.
    • Evgeniy Alekseevich
      Файлы зашифрованы, расширение файлов helpo2, как расшифровать ?
      Автор Evgeniy Alekseevich
      05 августа , судя по датам файлов, на нашем сервере был запущен шифровальщик, кем и как пока выясняем, но сегодня утром я обнаружил зашифрованы практически все файлы.
      Файлы имеют расширение helpo2.
      Может кто сталкивался и сможет помочь ?
      Связались с вымогателями, они для примера расшифровали два файла, я вложил в архив два зашифрованных и они же расшифрованные . Там же письмо, которое они оставили.
      Также прикладываю файлы от  Farbar Recovery Scan Tool.
      Может кто сможет помочь....
      С Уважением, Евгений.
       
       
      Addition.txt FRST.txt НаборФайлов5шт.zip
    • ant1tr3nd
      Заражён шифровальщиком Hunter-X@tuta.io
      Автор ant1tr3nd
      Добрый день. Сервер был заражен шифровальщиком. 
      Все файлы он переименовал и добавил расширение
      ~$АНАЛИЗ  2020.xlsx.id[07348D30-3335].[Hunter-X@tuta.io].HUNTER
      Вот как выглядит зашифрованный файл. Раньше назывался просто АНАЛИЗ 2020
      Прошу помочь(
       
    • SatanicPanzer
      Файлы зашифрованы с расширением Encrypted
      Автор SatanicPanzer
      Скорее всего проник через почту на сервер небольшой фирмы, файлы и логи прикрепляю
      FRST.txt 1.zip
    • MirTa
      Троян ISTANBULTEAM зашифровал файлы
      Автор MirTa
      Здравствуйте, вчера в два этапа  10.00 и  20.00 оказались зашифрованы почти все файлы, в том числе и архиватор, поэтому не могу сложить в архив и не могу их прикрепить, подскажите, пожалуйста, как их сюда добавить
      Important_Notice.txt Addition.txt FRST.txt
×
×
  • Создать...