Думаю, там что то другое было, журналы стерли, ПК повисли,

по мне так похоже на демонстрацию силы но с отвлечением внимания , зачем тролить лидера на табло и лочить ПК, могли просто все по шифровать и все а тут уже все следы почистили за собой, как будто что то проверяли или тестировали на боевой среде. И опять Касперский покоя не дает зачем? значит что то проверяли что мог задетектить каспер

Мы с вами точно об одном и том же говорим? https://labs.sentinelone.com/meteorexpress-mysterious-wiper-paralyzes-iranian-trains-with-epic-troll/

Мы с вами говорим о разном. Я говорил про старую атаку на нефтяной терминал Ирана. Подчёркивая факт того, что демонстрация силы тем атакующим, которые стоят за Meteor Express, давно уже больше не нужна.

И я того же мнения, по этотому и считаю что эта атака на жд Ирана была немного странная, там жесткий троллинг правительства и использование сразу базы разных компонентов из разных зловредов, при чем как показано в отчете часть профессиональна а часть с ошибками. И я удивлен что не было развитие этой атаки когда они должны были сидеть там очень долго, чтобы знать какие средства ИБ там есть и обходить их + почему не пустили поезда под откос или не устроили аварию с переключением веток (фантазия бушует) а просто полочили все, хотя они через АД распространяли файл и имели доступ к сетевым хранилищам , считай все у.з.

Скорее всего эта атака была быстрой и спонтанной, никто не потратил время на то, чтобы разобраться, как там переключать стрелки на персидском языке.

да они там сидели кучу времени если имели представление о средствах ИБ и рез копирования, потому что использовали определенные действия по распространению и определенные набор зловредов ) без знания инфраструктуры такое бы сразу увидели. https://threats.amnpardaz.com/malware/trojan-win32-breakwin/ вот более технический анализ на частьTrojan.Win32.BreakWin

Я вас умоляю, такого рода рекогносцировки делается несколькими cmd/powershell/wmi командами на минуты