Перейти к содержанию

Помощь в восстановлении и расшифровке файлов Real.Berserk2000@mailum.com

ArAREM
 Поделиться

Рекомендуемые сообщения

ArAREM

ArAREM

Опубликовано
Опубликовано

Здравствуйте!
Около двух месяцев назад на корпоративный сервер организации попал вирус-шифровальщик. Все базы данных 1C и важные файлы были зашифрованы. На данный момент уже проведены все мероприятия для восстановления работоспособности и налаживания безопасности, однако после этого инцидента остался жесткий диск с сервера с зашифрованными на нём файлами. Исходя из всех проведенных проверок - самого вирус-шифровальщика на нём уже нет. Файл FRST не смогу предоставить, так как накопитель уже не используется на сервере и по сути просто лежит у обслуживающей организации ожидая выхода дешифратора.
В свою очередь изначально в качестве одного из "условий" сделки, которую мы, естественно, не стали проводить после получения необходимого файла, нам удалось убедить злоумышленников расшифровать один из наших файлов для подтверждения возможности расшифровки. Возможно это как-то поможет в подборе дешифратора.
В архиве будут представлены: текст с требованием, а также два других зашифрованных файла малого размера (архив Files).
Хотел также прикрепить дополнительно образец расшифрованного файла базы данных Excel ДО и ПОСЛЕ расшифровки, но каждый из них весит по 3 мб, поэтому форма заполнения обращения не позволяет прикрепить их оба. В связи с чем в архиве (Sample) прикреплю уже расшифрованный файл. Если дополнительно понадобится версия файла ДО расшифровки, то предоставлю отдельным сообщением.

Files KP.zip Sample.zip

safety

safety

Опубликовано
Опубликовано (изменено)

Судя по записке о выкупе, это Proxima#BlackShadow, получить ключ по паре чистый-зашифрованный файл будет невозможно.

Помочь расшифровать файлы по данному типу шифровальщика не сможем без приватного ключа.

 

image.png

Изменено пользователем safety
ArAREM

ArAREM

Опубликовано
  • Автор
Опубликовано

Правильно понимаю, что этот приватный ключ есть только у вымогателей и обращаться в службу поддержки Kaspersky также не имеет особого смысла при таком типе шифровальщика?

safety

safety

Опубликовано
Опубликовано (изменено)

Выполнил проверку зашифрованного файла скриптом,

Цитата

# Check Proxima/BlackShadow (72) encrypted file
# .Hercul, .Dominik, .Elons, .Abram, .Frank, .Funder, .Key2030, .Arthur,
# .Bpant, .Thomas, .innoken, .innok, .RealBer, .Contacto, .contac, .Xp64

файл корректно зашифрован, и может быть расшифрован при наличие приватного ключа.

Да, ключ в данном случае только у злоумышленников. В ЛК они не отправляют приватные ключи.

При наличие лицензии на продукт Касперского можно обратиться в ТП Касперского и получить официальный ответ.

Так как мы все таки, как консультанты, здесь на форуме, не являемся сотрудниками лаборатории.

----

Вы так же можете проверить важные зашифрованные файлы указанным скриптом.

Потому как какая то часть файлов могла быть повреждена  при шифровании по разным причинам. Если файлы повреждены, то не поможет и наличие приватного ключа.

Изменено пользователем safety
ArAREM

ArAREM

Опубликовано
  • Автор
Опубликовано

Понял, попробую тогда обратиться в поддержку.
Большое спасибо за консультацию по данному вопросу!

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Владислав Эпштейн
      Помощь в расшифровке файлов
      Автор Владислав Эпштейн
      Доброго дня, обнаружен троян шифровальщик, расширения файлов - xxpfz2h
      Текст вымогателей найден отдельно, сам шифровальщик был удалён KVRT 
      Имеются только названия угроз: Trojan-Ransom.Win32.Mimic.av     -    HEUR:Backdoor.MSIL.Crysan.gen
      Просканировать систему не представляется возможным через программу которая приложена в правилах.
      Сканирование через KVRT осуществлял из под безопасного режима без сетевых драйверов и заражённый диск подключался через отдельный HDD хаб.
      Образцы зашифрованных файлов имеются, как и текстовый документ вымогателей
      Посоветуйте пожалуйста о дальнейших действиях
    • Равиль.М
      Помощь в расшифровке файлов
      Автор Равиль.М
      Добрый день. Поймали вирус-шифровальщик, поразил весь файловый серв. Все началось после того как подключились через Anydesk. На двух пользовательских компьютерах замещены вирусы после проверки KES. Лог файл приложил
      FRST.rar KVRT2020_Data.rar Обнаружено KES.rar Файлы шифрованные.rar
    • gin
      Помощь в расшифровке файлов
      Автор gin
      Добрый день! Просьба помочь расшифровать файлы
      логи FRST.zip записка.zip примеры файлов.zip
    • tr01
      Нужна помощь с восстановлением файлов
      Автор tr01
      Добрый день
      Подскажите, пожалуйста, сможете ли вы помочь в ситуации, если сервер в зломали и упаковали файлы в архив rar?После этого был Backdoor, но вроде бы уже удален антивирусом, восстановить файлы с диска не получается (затерты архивами). 
      Addition.txt FRST.txt отчет.txt пароль к архиву - копия (72) — копия — копия.txt
    • M_X
      Запрос на помощь в расшифровке файлов
      Автор M_X
      Здравствуйте. Зашифровали файлы... 
      Скорее всего проникли через RDP...
      Сам шифровальщик не обнаружал....
      Установленный антивирус - не отработал и был также зашифрован (symantec) .. После установил MalWarebytes.
      FRST.txt Addition.txt Desktop.rar
×
×
  • Создать...