Файлы зашифрованы Trojan.Encoder.11539
Автор
GSerg,
в Помощь в борьбе с шифровальщиками-вымогателями
-
Похожий контент
-
От EasyCat
Добрый день.
Придя на работу, сообщили, что не работает 1С.
По итогу на сервере тьма файлов "Имя"_.p7b.{travolta_john@aol.com}GUN.
Перерыл все, перепробовал и уже смирился, что конец моей работе здесь, т.к. резервная копия тоже была зашифрована. Может подскажет кто, есть хоть какой-то шанс, что в скором времени мне смогут помочь в этом вопросе?
Заранее благодарю за ответ.
Загрузил бы файлы, но не могу.
-
От Александр Ковальчук
Приветствую, господа.
Неделю назад на ПК у подруги произошел инцидент: на почту Outlook пришло письмо с вложением "ВАЖНO".
После скачивания вложения и открытия файла из него все файлы на ПК были зашифрованы с расширением ".crypt".(исключение: файлы Windows)
После того, как это произошло я пришел к ней, изъял жесткий диск и подключив его к своему ноутбуку прогнал все файлы через CureIT, а за тем "KVRT".
CureIT указал на два файла как Trojan.Encoder.11539 - https://vms.drweb.ru/virus/?_is=1&i=15333854
KVRT указал на те же два файла, однако с другой идентификацией вирусной угрозы - Ransom.Win32.Purgen.cy
После проверки, файл с вирусной угрозой был обезврежен и удален.
Теперь, когда виновник беды удален, остались файлы на расшифровку: 150 тыс. файлов или же 120 ГБ на расшифровку, которую содержат рабочую информацию, над которой девушка работала более 3.5 лет очень нужно расшифровать.
Уже четвертый день бьюсь над этим в поисках способа расшифровки. Бэкапов естественно нет, равно как точек восстановления. Прошу помощи!
Что уже было проделано:
1. Идентификация и обезвреживание шифровальщика;
2. Зашифрованный файл и записка от автора шифровальщика была залита и идентифицирована тут: https://id-ransomware.malwarehunterteam.com/identify.php?case=99d5e3ec22fee3542709172249b00a76786314b5;
3. Попытка расшифровать файл rannohdecryptor'ом: неудачно, зашифрованный файл имеет размер больше, нежели оригинал;
4. Попытка подобрать ключ расшифровки, с использованием таких утилит как decrypt_Globe, decrypt_Globe2, decrypt_Globe3, decrypt_crypboss, decrypt_Gomasom, RansomwareFileDecryptor 1.0.1667 MUI: неудачно, либо просто не хочет начинать расшифровывать, либо ключ не подбирает;
5. Попытка восстановить удаленные файлы, с использованием стороннего ПО: неудача, удаленных файлов просто не находит;
Некоторая полезная информация:
1. Файлы зашифрованы в формате ".crypt";
2. В каждом каталоге, где файлы были зашифрованы создается файл с расширением ".html" и названием "how_to_back_files", а так же таким содержимым:
"
<html> <head> <meta charset="windows-1251"> <title>HOW TO DECRYPT YOUR FILES</title> <HTA:APPLICATION ICON="UserAccountControlSettings.exe" /> <script language="JScript"> window.moveTo(50, 50); window.resizeTo(screen.width - 100, screen.height - 100); </script> <style type="text/css"> body { font: 15px Tahoma, sans-serif; margin: 10px; line-height: 25px; background: #EDEDED; } .bold { font-weight: bold; } .mark { background: #D0D0E8; padding: 2px 5px; } .header { font-size: 30px; height: 50px; line-height: 50px; font-weight: bold; border-bottom: 10px solid #D0D0E8; } .info { background: #D0D0E8; border-left: 10px solid #00008B; } .alert { background: #FFE4E4; border-left: 10px solid #FF0000; } .private { border: 1px dashed #000; background: #FFFFEF; } .note { height: auto; padding-bottom: 1px; margin: 15px 0; } .note .title { font-weight: bold; text-indent: 10px; height: 30px; line-height: 30px; padding-top: 10px; } .note .mark { background: #A2A2B5; } .note ul { margin-top: 0; } .note pre { margin-left: 15px; line-height: 13px; font-size: 13px; } </style> </head> <body> <div class="header">All your files have been encrypted!</div> <div class="note private"> <div class="title">Your personal ID</div> <pre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pre><!-- !!! dont changing this !!! --> </div> <div class="bold">All your files have been encrypted due to a security problem with your PC.</div> <div class="bold">If you want to restore them, write us to the e-mail:<font color="FF0000">overrideloop@mail-on.us</font></div> <div class="bold">Additional Mailing Address e-mail:<font color="FF0000">overrideloop@tuta.io</font></div> <div class="note info"> <div class="title">How to obtain Bitcoins</div> <ul> <li>The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. <li><a href="https://localbitcoins.com/buy_bitcoins">https://localbitcoins.com/buy_bitcoins</a></li> <li>Also you can find other places to buy Bitcoins and beginners guide here: <li><a href="http://www.coindesk.com/information/how-can-i-buy-bitcoins/">http://www.coindesk.com/information/how-can-i-buy-bitcoins/</a></li> </ul> </div> <div class="note info"> <div class="title">Free decryption as guarantee</div> <ul> <li>Before paying you can send to us up to 1 files for free decryption. Please note that files must NOT contain valuable information and their total size must be less than 1Mb</li> </ul> </div> <div class="note alert"> <div class="title">Attention!</div> <ul> <li>Do not rename encrypted files.</li> <li>Do not try to decrypt your data using third party software, it may cause permanent data loss.</li> <li>Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. </li> </ul> </div> </body></html> "
3. Почта авторов вымогателя: overrideloop@mail-on.us
Сейчас же мне очень нужна ваша помощь, так как ситуация очень неприятная и очень важно восстановить файлы.
P.S: в случае неудачи в расшифровывании файлов девушка будет уволена с работы...
Спасибо за внимание и ПРОШУ ПОМОЩИ!
Забыл указать, что еще был найден Trojan.MulDrop6.39118. Так же был обнаружен и обезврежен. Однако, как я понимаю, он никакого отношения к шифрованию файлов не имеет.
P.S: отчет не делал, так как на своем ноуте угроз нет и не вижу смысла его делать, так как отчет отобразит информацию о моем ноуте, а не о прежнем зараженном ПК.
P.S.2: есть подозрение на CryptXXX. Однако rannohdecryptor ругается на несовпадение размеров оригинального и зашифрованного файла...
-
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.