Перейти к содержанию

Зашифровали файлы через RDP [kingkong2@tuta.io]

EvgeniyR
 Share

Рекомендуемые сообщения

EvgeniyR Новичок

EvgeniyR

Опубликовано
Опубликовано

Поймали шифровальщик [kingkong2@tuta.io] на 2 копьютера. Пользователи сообщили, что начали пропадать файл. 1 компьютер зашифрован полностью  . 2 компьютер был сразу же выключен, на нем пострадало талька часть файлов. Есть шанс расшифровать?

логи анализа, сообщение о выкупе  и зашифрованные файл прилагаю

FRST.txt Новый1.zip ransom_message .txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано (изменено)

На сервере не вижу в автозагрузке активных файлов шифровальщика. Вероятно при шифровании пострадали только файлы в сетевых папках. Попробуйте сделать логи из обычного режима. Для второго компьютера создайте отдельную тему. Там компьютер заражен. На клиентском компьютере заблокируйте учетную запись john и изолируйте его на время лечения. 

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано (изменено)

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: 
    SystemRestore: ON
CreateRestorePoint:
HKLM\...\Winlogon: [LegalNoticeCaption] Information...
HKLM\...\Winlogon: [LegalNoticeText] to return the Data, write to us by mail - kingkong2@tuta.io
Startup: C:\Users\superuser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mystartup.lnk [2021-04-02]
ShortcutTarget: mystartup.lnk -> C:\Users\eryzhkin\AppData\Local\Temp\RESTORE_FILES_INFO.txt (Нет файла)

     

  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Тогда сделайте запрос на расшифровку в техподдержку вашего вендора. В Вашем случае это Eset. На форуме с расшифровкой файлов помочь не сможем. 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Lex89
      Взломали по RDP и зашифровали все файлы с расширением .pe32s
      От Lex89
      Сегодня произошел взлом по RDP и запуск шифратора 
      Примеры зашифрованных файлов, письмо о переводе денег, данные FRST во вложении
      Пароль от архива с вирусом - 12345
      Addition.txt FRST.txt Pe32-v4.1.1.rar README.txt Пример зашифрованных файлов.rar
    • BeckOs
      Зашифрованы все файлы
      От BeckOs
      На компьютере зашифрованы все файлы. Атака была ночью 
      FRST.txt files.7z
    • BtrStr102
      Зашифрованы все файлы
      От BtrStr102
      Здравствуйте, утром зашёл в пк. Все файлы с разрешением AriSPiHDt. Удаляешь это окончание. Не открывает. Вес файлов не изменен.
       
      Антивирусы ничего не нашли.
       
       
       
       
       
       
       
       
    • timmonn
      Зашифрованы все файлы.
      От timmonn
      Здравствуйте, шифровальщик зашифровал все файлы и переименовал файлы "Примерфайла.xml.[ID-6F6D95A2].[blackdecryptor@gmail.com].9w8ww
      Не смог найти название этого шифровальщика чтоб поискать дешифровщик.
      Прошу помочь с расшифровкой.
      Addition.txt FRST.txt файлы.zip
    • Андрюс
      Файлы зашифрованы с расширением vTEyZg5DZ
      От Андрюс
      Получили по почте письмо, открыли его и сразу произошла шифровка всех документов. Прилагаем требуемые файлы
      x1.rar
      Скажите возможно ли расшифровать?
×
×
  • Создать...