Перейти к содержанию

Помощь в восстановлении и расшифровке файлов Real.Berserk2000@mailum.com

ArAREM
 Поделиться

Рекомендуемые сообщения

ArAREM

ArAREM

Опубликовано
Опубликовано

Здравствуйте!
Около двух месяцев назад на корпоративный сервер организации попал вирус-шифровальщик. Все базы данных 1C и важные файлы были зашифрованы. На данный момент уже проведены все мероприятия для восстановления работоспособности и налаживания безопасности, однако после этого инцидента остался жесткий диск с сервера с зашифрованными на нём файлами. Исходя из всех проведенных проверок - самого вирус-шифровальщика на нём уже нет. Файл FRST не смогу предоставить, так как накопитель уже не используется на сервере и по сути просто лежит у обслуживающей организации ожидая выхода дешифратора.
В свою очередь изначально в качестве одного из "условий" сделки, которую мы, естественно, не стали проводить после получения необходимого файла, нам удалось убедить злоумышленников расшифровать один из наших файлов для подтверждения возможности расшифровки. Возможно это как-то поможет в подборе дешифратора.
В архиве будут представлены: текст с требованием, а также два других зашифрованных файла малого размера (архив Files).
Хотел также прикрепить дополнительно образец расшифрованного файла базы данных Excel ДО и ПОСЛЕ расшифровки, но каждый из них весит по 3 мб, поэтому форма заполнения обращения не позволяет прикрепить их оба. В связи с чем в архиве (Sample) прикреплю уже расшифрованный файл. Если дополнительно понадобится версия файла ДО расшифровки, то предоставлю отдельным сообщением.

Files KP.zip Sample.zip

safety

safety

Опубликовано
Опубликовано (изменено)

Судя по записке о выкупе, это Proxima#BlackShadow, получить ключ по паре чистый-зашифрованный файл будет невозможно.

Помочь расшифровать файлы по данному типу шифровальщика не сможем без приватного ключа.

 

image.png

Изменено пользователем safety
ArAREM

ArAREM

Опубликовано
  • Автор
Опубликовано

Правильно понимаю, что этот приватный ключ есть только у вымогателей и обращаться в службу поддержки Kaspersky также не имеет особого смысла при таком типе шифровальщика?

safety

safety

Опубликовано
Опубликовано (изменено)

Выполнил проверку зашифрованного файла скриптом,

Цитата

# Check Proxima/BlackShadow (72) encrypted file
# .Hercul, .Dominik, .Elons, .Abram, .Frank, .Funder, .Key2030, .Arthur,
# .Bpant, .Thomas, .innoken, .innok, .RealBer, .Contacto, .contac, .Xp64

файл корректно зашифрован, и может быть расшифрован при наличие приватного ключа.

Да, ключ в данном случае только у злоумышленников. В ЛК они не отправляют приватные ключи.

При наличие лицензии на продукт Касперского можно обратиться в ТП Касперского и получить официальный ответ.

Так как мы все таки, как консультанты, здесь на форуме, не являемся сотрудниками лаборатории.

----

Вы так же можете проверить важные зашифрованные файлы указанным скриптом.

Потому как какая то часть файлов могла быть повреждена  при шифровании по разным причинам. Если файлы повреждены, то не поможет и наличие приватного ключа.

Изменено пользователем safety
ArAREM

ArAREM

Опубликовано
  • Автор
Опубликовано

Понял, попробую тогда обратиться в поддержку.
Большое спасибо за консультацию по данному вопросу!

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Владислав Эпштейн
      Помощь в расшифровке файлов
      Автор Владислав Эпштейн
      Доброго дня, обнаружен троян шифровальщик, расширения файлов - xxpfz2h
      Текст вымогателей найден отдельно, сам шифровальщик был удалён KVRT 
      Имеются только названия угроз: Trojan-Ransom.Win32.Mimic.av     -    HEUR:Backdoor.MSIL.Crysan.gen
      Просканировать систему не представляется возможным через программу которая приложена в правилах.
      Сканирование через KVRT осуществлял из под безопасного режима без сетевых драйверов и заражённый диск подключался через отдельный HDD хаб.
      Образцы зашифрованных файлов имеются, как и текстовый документ вымогателей
      Посоветуйте пожалуйста о дальнейших действиях
    • VNDR
      Вымогальщик. Нужна помощь с расшифровкой.
      Автор VNDR
      Ребята, здравствуйте. Нужна помощь, бухгалтер скачала файл, после этого весь сервер зашифровался. Как расшифровать? На пк база 1с.
      Файлы прикладываю.
      Просим помощи!
      HowToRestoreFiles.txt Новая папка (4).rar
    • Warrr
      Помощь с расшифровкой Mimic
      Автор Warrr
      Прошу помощи с расшифровкой вируса Mimic. В поддержку уже обращался, сказали, не помогут. Есть много пар зашифрованных/оригинальных файлов. Может можно что-то придумать…
       
      спасибо 
    • Helsing13
      Прошу помощи с расшифровкой Trojan.Encoder.31074
      Автор Helsing13
      Добрый день! В результате атаки была зашифрована система. Все файлы стали с расширением lpdVIpAg7.
      После перезагрузки система работает но не все программы запускаются.
      Во вложении: письмо требование, пример зашифрованных файлов, отчеты о работе FRST, и несколько подозрительных исполняемых файлов.
       
      Пароль на оба архива: 1234
       
      virus.zip lpdVIpAg7.README.txt Addition.txt FRST.txt files.zip
    • Роман Суслов
      Прошу помощи в восстановлении данных после шифровальщика KREMLIN
      Автор Роман Суслов
      Добрый день! В результате RDP атаки была зашифрована система. Все файлы стали с расширением KREMLIN.
      После перезагрузки система мертва, т.к. зашифрованы и системные файлы тоже. 
      Нашел некий cryptor.exe на рабочем столе.
      Во вложении: письмо требование, пример зашифрованного файла и его незашифрованная версия, cryptor.exe в архиве (пароль virus).
       
      Письмо требование:
      ID: 3TpvNLVFm8BEBn58soumz8cf2sz2dzWN 
       Need restore files? Contact us in telegram(desktop.telegram.org) - @KremlinRestore
       
       
      README.txt cryptor.zip зашифрованный файл.zip
      Исходный файл для сравнения, не влез в тему.
      исходник.zip
×
×
  • Создать...