Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

Архив Desktop.rar с паролем , Все содержимое удалено и запаковано в архив

1
RSS
 
Валерия МК
Валерия МК
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 08.10.2019
Размещено 08.10.2019 10:54:49
Архив около 6 гб со всем содержимым рабочего компьютера оставлен на рабочем столе. Рядом с архивом оставлено такое сообщение (см. скриншот).

Помогите пожалуйста спасти информацию.

Что нужно сделать? Какую информацию предоставить, чтобы было проще помочь?
Нужен ли образ автозапуска согласно этой теме http://forum.esetnod32.ru/forum9/topic2687/
Нужно предоставить ссылку на сам архив на яндекс-диске?

Спасибо.
Изменено: Валерия МК - 08.10.2019 10:55:17
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 08.10.2019 11:02:06
добавьте образ автозапуска системы, и записку о выкупе в виде текстового файла.
[ Как создать образ автозапуска? ]
 
Валерия МК
Валерия МК
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 08.10.2019
Размещено 08.10.2019 16:37:53
Прикрепляю образ и записку.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 08.10.2019 17:00:04
когда шифрование произошло?
[ Как создать образ автозапуска? ]
 
Валерия МК
Валерия МК
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 08.10.2019
Размещено 08.10.2019 17:11:38
Цитата
santy написал:
когда шифрование произошло?
Это произошло между 02.10 и 07.10, к компьютеру был удаленный доступ и сотрудник последний раз заходила именно по нему 2-го числа. 7-го числа уже была обнаружена проблема.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 08.10.2019 17:21:25
этот майл [email protected]  (резервный [email protected]) давно (несколько лет) встречается в инцидентах со взломом и вымогательством.
проверьте, есть ли возможность восстановить удаленные данные с помощью например, r-studio. Только запускать r-studio необходимо со стороннего носителя. на диск удаленными данными пока ничего не пишите.

доступ из внешней сети надо прекратить, или разрешить доступ только с определенных доверенных адресов. Иначе, взломы повторятся.

возможно, подобрали пароль, если он был несложный. пароли доступа необходимо сменить.

так же проверьте по журналам событий, с каких ip к вам подключались в этот период.
[ Как создать образ автозапуска? ]
 
Валерия МК
Валерия МК
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 08.10.2019
Размещено 08.10.2019 18:06:23
Спасибо, есть ли возможность, в случае неудачи, обратиться к Вам с вопросом о расшифровке / подборе пароля к архиву?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 10.10.2019 15:09:07
Цитата
Валерия МК написал:
Спасибо, есть ли возможность, в случае неудачи, обратиться к Вам с вопросом о расшифровке / подборе пароля к архиву?
пробуйте брутфорсить пароль к архиву rar например утилитой от Elcomsoft (Advanced_Archive_Password_Recovery_Professional), вы увидите какое время необходимо затратить, чтобы получить пароль хотя бы длиной 7-8, если он состоит из цифр, букв и спецсимволов.
[ Как создать образ автозапуска? ]
 
1
Читают тему