thyrex 1 468 Опубликовано 20 июля, 2017 Share Опубликовано 20 июля, 2017 Тогда возможно, что Вам повезло. На написание дешифратора уйдет какое-то время.Что касается логов сервера, то безопасность никуда не годится. Логи старые: безопасность и приложения заканчиваются 2016 годом, система - апрелем 2017. Потому и о шифраторе ничего нет в них.Пароль от RDP на всякий случай смените на более сложный.Образцы шифрованных файлов вместе с их незашифрованными копиями, которые нужно постараться найти, пришлите архивом на dropmefiles.com 1 Цитата Ссылка на сообщение Поделиться на другие сайты
VictorMN 0 Опубликовано 21 июля, 2017 Автор Share Опубликовано 21 июля, 2017 (изменено) вот образцы. это то что сходу нашел. если нужны еще, то буду дальше искать. http://dropmefiles.com/oXV1J Изменено 21 июля, 2017 пользователем VictorMN Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 21 июля, 2017 Share Опубликовано 21 июля, 2017 Файл только переименован, но не зашифрован. Ищите другие пары Цитата Ссылка на сообщение Поделиться на другие сайты
VictorMN 0 Опубликовано 21 июля, 2017 Автор Share Опубликовано 21 июля, 2017 новые образцы http://dropmefiles.com/oXV1J файлы в c:\adfs можно удалять? я пока их переименовал Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 21 июля, 2017 Share Опубликовано 21 июля, 2017 Удаляйте. Эти файлы не могут быть парой. Уж слишком размер отличается. Цитата Ссылка на сообщение Поделиться на другие сайты
VictorMN 0 Опубликовано 21 июля, 2017 Автор Share Опубликовано 21 июля, 2017 последние образцы подошли? возможно будет дешифровать? Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 21 июля, 2017 Share Опубликовано 21 июля, 2017 Я же написал Эти файлы не могут быть парой. Уж слишком размер отличается.Да и дешифратор пока не начали писать. Пока пытаюсь разобраться в коде. Цитата Ссылка на сообщение Поделиться на другие сайты
VictorMN 0 Опубликовано 21 июля, 2017 Автор Share Опубликовано 21 июля, 2017 новые образцы http://dropmefiles.com/oXV1J все файлы размер которых меньше 100Кб после шифрования занимают ровно 100Кб если файл больше 100Кб, то размер оставляет оригинальный и еще вирус шифровал файлы только 2017 года Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 21 июля, 2017 Share Опубликовано 21 июля, 2017 В общем нужен файл с ключом keylist.txt Он или удален в папке с fmon.exe, или искать его нужно в других местах. Если его не находит R-Studio, значит пробуйте искать другими утилитами. Только помните, что устанавливать их нужно не на системный диск Цитата Ссылка на сообщение Поделиться на другие сайты
VictorMN 0 Опубликовано 21 июля, 2017 Автор Share Опубликовано 21 июля, 2017 А возможно дешифровать без файла keylist.txt ? R-Studio и R.Saver не нашли(( сейчас проверяю Recuva (глубокий анализ - 5 часов), но не факт что найдет. Есть какие-нибудь шансы дешифровать? Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 21 июля, 2017 Share Опубликовано 21 июля, 2017 Вы искали его на компьютере в неудаленных? В этом файле хранятся все ключи, из которых вирусвыбирает один. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.