Перейти к содержанию

Рекомендуемые сообщения

Доброго времени суток! Ситуация следующая: компьютер на базе Windows 7 был оставлен на несколько дней включенным, как и когда на него проник вирус-шифровальщик определить невозможно. Обнаружили после выходных, что файлы за шифрованы, а вирус оставил записку (идентична приложенной note.jpg). Поисковые запросы привели на сайт https://id-ransomware.blogspot.com/2018/05/cryptgh0st-ransomware.html где подробно описан вирус (версия 2023 года), используя предложенный метод восстановления файлов (путем перекодирования имени на сайте https://www.base64decode.org) удалось восстановить оригинальные имена файлов, но сами файлы были зашифрованы, хотя в последней известной версии они еще не шифровались. При этом не все файлы шифруются: в приложенном архиве (Files.zip) есть две папки original (оригиналы файлов взятые из чистой системы windows7) и encrypted (уже подверженные шифровке), можно заметить что файл *\Sample Videos\Wildlife.wmv был только переименован (имя файла прогнали через декодер base64) и кодирован один раз, а вот остальные приложенные файлы (были закодированы дважды) при возвращении оригинального имени уже не открываются. Предположительно связано с размером\типом файла. Найти тело вируса пока не удалось (либо он удалился после шифровки, либо маскируется). Готов к сотрудничеству, пожалуйста помогите с расшифровкой.
Архив с файлами залил на google диск: https://drive.google.com/file/d/1e3crErxzPH5jUr8V1AJWEdyrtUsgV35n/view?usp=drive_link

note.jpg

Ссылка на сообщение
Поделиться на другие сайты

Увы, тут без тела шифровальщика не обойтись. Тем более если имена шифруются дважды, то и сами файлы могли быть зашифрованы дважды.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • KIART
      От KIART
      Добрый день! 11.07.24 мой сервер атаковал вирус-шифровальщик. При включении сервера появляется текст от злоумышленников с требованием перевести биткоины в замен на ключ для расшифровки. Сейчас необходимый файл бэкап вяглядит так: Resto.bak.gz.ELPACO-team. Обращался в две организации, которые занимаются расшифровкой, обе ответили что расшифровать не могут, тип шифрования новый, решения пока нет. Подскажите, сталкивался ли кто-то недавно с такой проблемой, может уже есть неопубликованное решение? 
    • Salavat
      От Salavat
      Файловый сервер. Произошло всё 12.07.2024 примерно от 00:30 до 03:50. 
      Шифрованию подверглись почти все файлы, за исключением *.exe, log, xml, dll, bat и т.д.
      Addition.txt FRST.txt files.zip
    • upvpst
      От upvpst
      Добрый день! В сеть проник зловред подробно описанный по ссылке https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html.
      Возможности зайти на сервер нет, так как файловые системы отображаются как нечитаемые. Пробуем вытащить файлы через R-Studio, Disk Drill и иные утилиты восстановления данных. Сталкивался ли кто-то еще с этими гадами? Есть ли выход?

    • Sandynist
      От Sandynist
      Добрый вечер!
      Интернет кипит инсайдами и слухами, некоторые осведомлённые источники уверяют, что на информационных базах компании СДЭК можно поставить жирный крест.
       
      Как на ваш взгляд — это произошло от того, что руководство компании пожалело денег на защитные решения от шифровальщиков, на зарплату IT-специалистам или что-то ещё? Или может быть все три причины оказали такой оглушительный эффект?
       
      Источник:  https://3dnews.ru/1105511/virusshifrovalshchik-mog-stat-prichinoy-sboya-v-rabote-sdek
    • vldmrmail
      От vldmrmail
      Здравствуйте.
       
      В систему проник шифровальщик и испортил файлы документов. Систему сразу отключил - она неработоспособна стала. Жесткий диск с данными подключил к другому компьютеру и с него вытащил зашифрованные файлы и файл с требованием выкупа от мошенников. Прошу помочь с дешифровкой файлов.
      flash.zip
×
×
  • Создать...