Решена без расшифровки зашифровало все файлы расширением [johnborn@cock_li]

[sergey86]

25.01.2021 в полночь зашифровались все файлы, бэкапы, базы данных... есть один файлик с содержанием вымогателя...

 

[Sandor]

Здравствуйте!

Образцы зашифрованных прикрепите к следующему сообщению.
+
Логи по правилам.

 

[sergey86]

Здравствуйте!

Образцы зашифрованных прикрепите к следующему сообщению.
+
Логи по правилам.

Логи + 2 файла + текс вымогателя... пароль 1111

 

[Sandor]

Ещё эти в архиве прикрепите, пожалуйста:

C:\Program Files (x86)\@_FILES_WERE_ENCRYPTED_@.TXT
C:\Program Files (x86)\@_HOW_TO_DECRYPT_FILES_@.TXT

 

[sergey86]

Ещё эти в архиве прикрепите, пожалуйста:

Пароль такой же

 

[Sandor]

Похоже, у вас был двойное шифрование разными вымогателями. Точнее скажет @thyrex
Пока ждём ответа попробуйте найти пару - зашифрованный и его не зашифрованный оригинал (из бекапа, почты, другого ПК и т.п.).

 

[sergey86]

Похоже, у вас был двойное шифрование разными вымогателями. Точнее скажет @thyrex
Пока ждём ответа попробуйте найти пару - зашифрованный и его не зашифрованный оригинал (из бекапа, почты, другого ПК и т.п.).

Нашел... пароль тот же...

 

[sergey86]

Сейчас разговаривал с бывшим сисадмином, было шифрование в начале 2020 года, все восстановили...
C:\Program Files (x86)\@_FILES_WERE_ENCRYPTED_@.TXT
C:\Program Files (x86)\@_HOW_TO_DECRYPT_FILES_@.TXT эти файлы видимо от того еще оставались... дата создания 09.01.2020г

 

[Sandor]

Именно так. Жаль, что не предприняли меры.
Тип нового вымогателя пока выясняем.

 

[sergey86]

Именно так. Жаль, что не предприняли меры.
Тип нового вымогателя пока выясняем.

Есть предположения каким письмом запустили шифровальщик, если поможет могу скинуть... сейчас проверил почту всех пользователей, есть одно подозрительное от некого ДЖОНА

 

[Sandor]

если поможет могу скинуть

Да, скиньте.

 

[sergey86]

Да, скиньте.

 

[Sandor]

Нет, это обычный спам, т.н. "нигерийское" письмо.

 

[sergey86]

Нет, это обычный спам, т.н. "нигерийское" письмо.

НАДЕЮСЬ НА ВАШУ ПОМОЩЬ... поищу еще... вообще странно как то, был создан новый пользователь админом и имя еироглефами, где то в 00.10 началось шифрование, в 00.40 ну и около часу закончилось, затем под админом был вход через rdp и затерты журналы часа в 4-утра... его заблокировал но не удолял еще... пароли сменил у всех… шифрование явно происходило у того у кого был открыт rdp клиент так как на втором сервере пошифровало только одну общую сетевую папку...

 

[akok]

Значит взломали через RDP, следующий раз скройте за VPN с авторизацией

 

[sergey86]

Аферисты эти не отвечают! инструкций кроме как той, что отправил Вам тоже нет.... тишина полная, работа стоит...

 

[sergey86]

есть новости какие ни будь?... можно ли ключ найти?

 

[Sandor]

Увы, никаких новостей. Тип вымогателя пока не опознан.

базы данных

Попробуйте обратиться к S.lab, читайте подробности здесь.

 

[sergey86]

Увы, никаких новостей. Тип вымогателя пока не опознан.

Попробуйте обратиться к S.lab, читайте подробности здесь.

Спасибо попробую...
Аферист вышел на связь...

OOO Nedra iT писал 2021-01-26 08:16:
>
0.42 BTC
bc1qvqxjmhsd24pqeuazt3ws4fgnu7kek9tl9guzew
При обмене учитывайте адрес BTC формата bech32
Не рекомендую пытаться восстанавливать, перемещать или переименовывать
файлы, нарушите целостность восстановить не сможем.

таких денег просто нет даже одной трети (

 

[sergey86]

вот еще ссылочка о моей проблеме, может кто поможет... Шифровальщики-вымогатели The Digest "Crypto-Ransomware": JohnBorn (id-ransomware.blogspot.com)