• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки зашифровало все файлы расширением [johnborn@cock_li]

Статус
В этой теме нельзя размещать новые ответы.

sergey86

Новый пользователь
Сообщения
12
Реакции
0
25.01.2021 в полночь зашифровались все файлы, бэкапы, базы данных... есть один файлик с содержанием вымогателя...
 

Вложения

Здравствуйте!

Образцы зашифрованных прикрепите к следующему сообщению.
+
Логи по правилам.
 
Ещё эти в архиве прикрепите, пожалуйста:
C:\Program Files (x86)\@_FILES_WERE_ENCRYPTED_@.TXT
C:\Program Files (x86)\@_HOW_TO_DECRYPT_FILES_@.TXT
 
Похоже, у вас был двойное шифрование разными вымогателями. Точнее скажет @thyrex
Пока ждём ответа попробуйте найти пару - зашифрованный и его не зашифрованный оригинал (из бекапа, почты, другого ПК и т.п.).
 
Похоже, у вас был двойное шифрование разными вымогателями. Точнее скажет @thyrex
Пока ждём ответа попробуйте найти пару - зашифрованный и его не зашифрованный оригинал (из бекапа, почты, другого ПК и т.п.).
Нашел... пароль тот же...
 

Вложения

  • 1.rar
    1.rar
    360.1 KB · Просмотры: 2
Сейчас разговаривал с бывшим сисадмином, было шифрование в начале 2020 года, все восстановили...
C:\Program Files (x86)\@_FILES_WERE_ENCRYPTED_@.TXT
C:\Program Files (x86)\@_HOW_TO_DECRYPT_FILES_@.TXT эти файлы видимо от того еще оставались... дата создания 09.01.2020г
 
Именно так. Жаль, что не предприняли меры.
Тип нового вымогателя пока выясняем.
 
Именно так. Жаль, что не предприняли меры.
Тип нового вымогателя пока выясняем.
Есть предположения каким письмом запустили шифровальщик, если поможет могу скинуть... сейчас проверил почту всех пользователей, есть одно подозрительное от некого ДЖОНА
 
Нет, это обычный спам, т.н. "нигерийское" письмо.
 
Нет, это обычный спам, т.н. "нигерийское" письмо.
НАДЕЮСЬ НА ВАШУ ПОМОЩЬ... поищу еще... вообще странно как то, был создан новый пользователь админом и имя еироглефами, где то в 00.10 началось шифрование, в 00.40 ну и около часу закончилось, затем под админом был вход через rdp и затерты журналы часа в 4-утра... его заблокировал но не удолял еще... пароли сменил у всех… шифрование явно происходило у того у кого был открыт rdp клиент так как на втором сервере пошифровало только одну общую сетевую папку...
 
Значит взломали через RDP, следующий раз скройте за VPN с авторизацией
 
Аферисты эти не отвечают! инструкций кроме как той, что отправил Вам тоже нет.... тишина полная, работа стоит...
 
есть новости какие ни будь?... можно ли ключ найти?
 
Увы, никаких новостей. Тип вымогателя пока не опознан.

Попробуйте обратиться к S.lab, читайте подробности здесь.
Спасибо попробую...
Аферист вышел на связь...

OOO Nedra iT писал 2021-01-26 08:16:
>
0.42 BTC
bc1qvqxjmhsd24pqeuazt3ws4fgnu7kek9tl9guzew
При обмене учитывайте адрес BTC формата bech32
Не рекомендую пытаться восстанавливать, перемещать или переименовывать
файлы, нарушите целостность восстановить не сможем.

таких денег просто нет даже одной трети (
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу