• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Зашифрован сервер [honestandhope@qq.com]

Статус
В этой теме нельзя размещать новые ответы.

serg_KS

Пользователь
Сообщения
24
Реакции
1
Пример имени файла: 1C77.exe[honestandhope@qq.com].[1E110AE0-3DC81EB5]

Инструкция от вымогателей в файле how_to_decrypt.hta

В нем есть такие строки:

ound-color:white;overflow-x:hide; overflow-y:scroll; position:absolute; top:100px; left:10px; width:768px; height:320px">
Decrypt files? Write to this mails: <font face="monospace" OnClick="copytext('honestandhope@qq.com')"><b>honestandhope@qq.com</b></font> or <font face="monospace" OnClick="copytext
('<flydragon1@protonmail.ch>')"><b><flydragon1@protonmail.ch></b></font>. mail <font face="monospace" OnClick="copytext('honestandhope@qq.com')"><b>honestandhope@qq.com</b></font>.
<br>
You unique ID <font face="monospace" OnClick="copytext('[1E110AE0-3DC81EB5]')"><b>[1E110AE0-3DC81EB5] <font size="2">[copy]</font></b></font>

Подскажите, есть ли шанс расшифровки этого сервака?
 

Вложения

  • how_to_decrypt.rar
    1.9 KB · Просмотры: 2

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
9,589
Реакции
2,824
Здравствуйте!

Похоже на crylock 2.0
Если так, то расшифровки нет. Для верности пару зашифрованных файлов в архиве прикрепите к следующему сообщению.
Заодно прикрепите логи по правилам раздела - проверим не осталось ли следов.
 

serg_KS

Пользователь
Сообщения
24
Реакции
1
Готово
 

Вложения

  • Example.rar
    56.6 KB · Просмотры: 1
  • FRST Files.rar
    8.7 KB · Просмотры: 1

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
9,589
Реакции
2,824
Увы, предположение подтвердилось. Это crylock 2.0.0.0

Семь учётных записей с правами администратора, не много ли?
Пароли на RDP смените, взлом был скорее всего именно здесь.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу