voidcrypt Произошёл взлом через RDP - зашифровали сервера. Возможна ли расшифровка файлов каким-либо ПО?

[I_CaR]

Здравствуйте.
27.11.2023 была атака на сеть предприятия по RDP(зашли по 3389 порту на ПК администратора системы). Далее, через ПК администратора, были также по RDP заражены ещё 2 сервера предприятия.
Вложения:
"unlock-info.txt" - письмо от мошенников. Вирус немного похож на ouroboros (Так его детектировал Eset).
Внутри архива сам вирус-шифрователь *.exe (пароль к архиву 12345).
---
Заранее благодарен за внимание к проблеме.
Очень надеюсь на положительный результат.

unlock-info.txt filescoder@gmail.com(пароль_на_архив_12345).rar

[safety]

Файлы зашифрованы VoidCrypt/Ouroboros

https://www.virustotal.com/gui/file/c6509f1366d1c03763748f91d5bab7352a51fd31730192772f584e9af6e1cd2c?nocache=1

 

К сожалению, расшифровки по VoidCrypt/Ouroboros на текущий момент нет.

 

Если необходима очистка/более тщательный анализ системы, сделайте пожалуйста, логи FRST

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool

 

+

образ автозапуска в uVS.

Сделайте, пожалуйста, дополнительно образ автозапуска в uVS.

Quote

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, Win7, Win8, Win10 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

+

проверьте ЛС.

Изменено 29 ноября, 2023 пользователем safety

[I_CaR]

Спасибо за внимание к жуткой проблеме.

Я знаю, что PDF-формат это некий контейнер. Выходит это шифровка происходит на контейнер, а содержимое контейнера цело.
Из этого выяснилось следующее:

Шифровка происходит на файл и на файлы-контейнеры, такие как doc, pdf, zip, rar и т.п., а содержимое контейнера иногда остаётся не тронутым.
Так я смог восстановить ВСЕ файлы в zip-формате. Архивы *.rar так не сработали.
Переименовал .MRN обратно в .zip, открыл через winRAR , вытащил содержимое архива. Всё чистенько и всё открывается прекрасно.
Может кому-то эта информация да поможет.
 

Изменено 2 декабря, 2023 пользователем safety
дополнение

[safety]

Ждем от вас логи.