Перейти к содержанию

Помогите восстановить жесткий диск после шифровальшика

Сергей СР
 Поделиться

Рекомендуемые сообщения

Сергей СР

Сергей СР

Опубликовано
Опубликовано

Доброго времени суток!

 

Поймали шифровальшика на старый домашний компьютер. После переговоров и оплаты получили от злоумышленников ключ, программу и файлы, которые якобы должны были расшифровать данные . Программа по видимому была пустышкой для вымогания денег. На компьютере установлено два физических диска: SSD с ОС и жесткий диск с данными на 1Тб. До взлома на ЖД был один единственный раздел, занимавший всё свободное пространство. На диск было записано ~350 - 400 Гб данных. Сейчас там два раздела (Том D 391 Гб и E 97 Гб) и неразмеченная область. Можно ли как-то восстановить данные с жесткого диска? Заранее спасибо.

 

ключ расшифровки.jpg

Addition.txt FRST.txt Зашифрованные файлы и сообщение.zip

thyrex

thyrex

Опубликовано
Опубликовано

Четыре пользователя с правами администратора...

 

Xorist обычно сами запускают на компьютере, а не после получения удаленного доступа.

c:\users\user\Desktop\12.exe - есть этот файл в наличии?

Сергей СР

Сергей СР

Опубликовано
  • Автор
Опубликовано

Такого файла нет, с помощью decrypt_Xorist получилось расшифровать весь диск С, но вот диск Д как будто поврежден и на нем вообще нет никаких файлов. Диск до взлома был на 1 тб, а сейчас вот такая картина. Основанная масса данных была именно на Д.

image.png.08c270a368f3f8629842bdd6c0be4883.png 

Сергей СР

Сергей СР

Опубликовано
  • Автор
Опубликовано

Злоумышленники отправили нам какие-то файлы для расшифровки. Там несколько файлов с расширением.bak. В одном из них как будто-бы какие-то файлы Windows и реестра. Возможно ли что с помощью них можно восстановить наши данные? Ссылка на дропмифайлс с архивом программы, которую прислали злоумышленники, и файлами для восстановления: https://dropmefiles.com/IrUhd

thyrex

thyrex

Опубликовано
Опубликовано

Вы поймете наконец, что Ваш винчестер был полностью очищен и, возможно, переразбит на два раздела? А прислали Вам полное фуфлопричем Вы за него еще и заплатили.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • samadhist
      Xorist-Frozen. Новая разновидность.
      Автор samadhist
      Добрый день! имеется пострадавший сервер на Windows Server 2008R2. 
      был подобран пароль к учётке админа и установлен криптолокер.
      все файлы имеют расширение:
      .DATA_IS_SAFE_YOU_NEED_TO_MAKE_THE_PAYMENT_IN_MAXIM_24_HOURS_OR_ALL_YOUR_IMPORTANT_FILES_WILL_BE_LOST_FOREVER_PLEASE_BE_REZONABLE_IS_NOT_A_JOKE_TIME_IS_LIMITED
      систему уже пролечил, пароли сменил, но требуется помощь в дешифровке файлов.
      все необходимые архивы прилагаю. 
      буду благодарен за любую помощь!
      CollectionLog-2018.10.16-00.32.zip
      FRST.rar
      sample.rar
    • neyda4nik
      Вирус шифровальщик
      Автор neyda4nik
      Добрый день. Вирус попал на компьютер и зашифровал практически все файлы. Добавил к ним расширение EnCiPhErEd. Возможна ли расшифровка файлов? Зашифрованный файл могу выслать на любой Ваш почтовый ящик, сюда его загрузить не предоставляется возможным (размер файла 51 Мб)...

      Прикрепляю Логи...
      CollectionLog-2018.03.23-15.13.zip
    • XBoOoMeR
      вирус шифровальщик
      Автор XBoOoMeR
      У меня зашифрованы все данные. сообщение от мошенника:
      Внимание! Все Ваши файлы зашифрованы!
      Чтобы восстановить свои файлы и получить к ним доступ, отправьте письмо на почту avastvirusinfo@yandex.ru с текстом "Имя пароля расшифровки: x2Hzqz8YKTjyeKs6Oiz7CzQQ"     Файлы прикрепить не могу они странного форматаю вот ссылка на яндекс диск: https://yadi.sk/d/kHcsqKLWnjkh3w https://yadi.sk/d/ekq21Ubqb0UD2w
    • sergio7
      шифровальщик Filecoder.Q
      Автор sergio7
      Помогите решить проблему с шифровальщиком! Не совсем понятно как он проник, но 2 компа заражены, а это док файлы, ехешники, базы данных....
      Может кто то уже сталкивался с таким шифровщиком и у кого нить есть ключик?
      Комп загружается под временной учеткой, лицензия слетела запускается ехе-файл в виде сообщения типа: у вас все зашифровано, пришлите сообщение на decrythelp@qq.com
      Eset определил угрозу как Win32/Filecoder.Q от приложения 1taskhoste.exe

      Прикрепляю архив логов, как по инструкции
      CollectionLog-2018.02.06-02.03.zip
    • АлексейЧеч
      Интересный вирус. Шифровальщик зашифровал все файлы и удалил их
      Автор АлексейЧеч
      Здравствуйте! Ситуация в следующая,  знакомый бухгалтер обратился за помощью, не смогли войти в 1с. После анализа оказалось, что на сервере удалены все файлы создано два архива с.bin d.bin, которые закрыты паролем естественно в каждом каталоге файл с требованием выкупа. Удаленные файлы почти все возможно восстановить, но все они зашифрованы шифровальщиком с расширение .EnCiPhErEd, диск сейчас не вылечен подключен к другому компьютеру. Расшифровать восстановленные файлы не удается ни xoristdecryptor ни утилитой от Веба. Проверка Kaspersky Security Scan нашла много вирусов Virus.Win32.Neshta.a, и троян trojan-ransom.win32.xorist.ln. Подскажите пожалуйста что сделать, судя по форуму такие данные можно рассшифровать. зараженный файл и его не зашифрованный аналог прилагаю. Если нужны логи программ я не знаю что нужно восстановить удаленные файлы и вылечить сервер или можно делать на компьютере к которому сейчас подключен зараженный диск.   сервер вполне вероятно восстановить не получится а данные очень нужно восстановить.
      222.zip
×
×
  • Создать...