скорее  всего, ваши файлы зашифрованы шифратором phobos

https://id-ransomware.blogspot.com/2017/10/phobos-ransomware.html

Здравствуйте! Поймал шифровальщика Caley.
Во вложении зашифрованные файлы, их оригинальные копии и записки - txt и hta
Помогите кто чем может

расшифровки по phobos нет в настоящее время,
если необходима очистка системы, добавьте образ автозапуска системы

Доброго времени суток. Попался на компьютер вирус шифровальщик Phobos ([email protected]) помогите пожалуйста расшифровать файлы. Сам вирус и файлы требующие выкупа все есть. Куда можно направить файлы? Заранее спасибо большое.  

Добавьте во вложение (в архиве) несколько зашифрованных файлов и записку о выкупе.
Сделайте в зашифрованной системе образ автозапуска системы в uVS.

При наличие лицензии на продукт ESET вы так же можете обратиться в техническую поддержку [email protected]

Какие необходимо собрать файлы - подробнее на нашем техническом форуме
https://forum.esetnod32.ru/forum35/topic16689/

Добрый день!
На выходных взломали сервер и зашифровали почти 99% данных на севере. Данные прилагаю. Подскажите пожалуйста есть ли возможность расшифровать данные?

Судя по маркерам в зашифрованных файлах
0000000000000000000000000000000000000000
а так же по шаблону наименования зашифрованного файла:
FileName.id[5A0414FE-2899].[e-mail].eking:
это  Filecoder.Phobos
Сделайте, пожалуйста, следующие логи для поиска файлов шифровальщика и анализа проникновения:
образ автозапуска в uVS.
Как собрать, подробнее на нашем техническом форуме:
https://forum.esetnod32.ru/forum9/topic2687/
и
"SysVulnCheck_out.zip" (лог, созданный в программе ESETSysVulbCheck)

Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
https://ftp.eset.sk/samples/svchecker/ESETSysVulnCheck.exe
и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита,
появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.

Добрый день. Подхватили Phobos.
прикрепил лог ESETSysVulnCheck[/B]                                                                                                                                                                                                          

+
Добавьте, пожалуйста, несколько зашифрованных файлов и записку о выкупе в архиве, и загрузите архив в ваше сообщение.
Если система не очищена тел шифровальщика,
сделайте образ автозапуска системы в uVS, прикрепите файл образа к вашему сообщению.
----------
по логу ESVC:

1. учетная запись ваша? создана накануне атаки.

Name,Creation date,Is enabled?,Is locked out?,Is administrator?,Has RDP access?
ROP,17.10.2023 20:25:11 (?),no,no,yes,yes

2. По параметрам политик:

Lockout threshold,Никогда ---
необходимо указывать 20-30 неверных попыток после чего учетная запись будет блокирована с целью предупреждения автоматического подбора (brute-force) пароля.

3.по антивирусам - антивирусная защита не установлена.

4. Timeline:
Datetime,Source,Event description
17.10.2023 20:25:12.464,TS - Lcl Session Man,"""ROP"" logged in from IP 89.39.107.157."
17.10.2023 20:25:11.999,Local Users,"Local user ""ROP"" was created."
17.10.2023 20:22:14.404,TS - Lcl Session Man,"""Logistika"" logged in from IP 89.39.107.157."

Возможно здесь начало атаки.
Надо сверить с датой и временем шифрования файлов.

(подобран пароль к учетной записи Logistika и создана новая учетная запись RDP c ip country:        NL)
по timeline:

Можно предположить, что шифрование было или вечером 17.10 или ночью 18.10.

Учетная запись ROP такая была на компьютере . Подозреваю что пользователь использовал логин с паролем для регистрации на каком-то сервисе , откуда эти данные утекли.
Все нужные файлы прикрепил