Перейти к содержанию

Помощь в восстановлении и расшифровке файлов Real.Berserk2000@mailum.com

ArAREM
 Поделиться

Рекомендуемые сообщения

ArAREM

ArAREM

Опубликовано
Опубликовано

Здравствуйте!
Около двух месяцев назад на корпоративный сервер организации попал вирус-шифровальщик. Все базы данных 1C и важные файлы были зашифрованы. На данный момент уже проведены все мероприятия для восстановления работоспособности и налаживания безопасности, однако после этого инцидента остался жесткий диск с сервера с зашифрованными на нём файлами. Исходя из всех проведенных проверок - самого вирус-шифровальщика на нём уже нет. Файл FRST не смогу предоставить, так как накопитель уже не используется на сервере и по сути просто лежит у обслуживающей организации ожидая выхода дешифратора.
В свою очередь изначально в качестве одного из "условий" сделки, которую мы, естественно, не стали проводить после получения необходимого файла, нам удалось убедить злоумышленников расшифровать один из наших файлов для подтверждения возможности расшифровки. Возможно это как-то поможет в подборе дешифратора.
В архиве будут представлены: текст с требованием, а также два других зашифрованных файла малого размера (архив Files).
Хотел также прикрепить дополнительно образец расшифрованного файла базы данных Excel ДО и ПОСЛЕ расшифровки, но каждый из них весит по 3 мб, поэтому форма заполнения обращения не позволяет прикрепить их оба. В связи с чем в архиве (Sample) прикреплю уже расшифрованный файл. Если дополнительно понадобится версия файла ДО расшифровки, то предоставлю отдельным сообщением.

Files KP.zip Sample.zip

safety

safety

Опубликовано
Опубликовано (изменено)

Судя по записке о выкупе, это Proxima#BlackShadow, получить ключ по паре чистый-зашифрованный файл будет невозможно.

Помочь расшифровать файлы по данному типу шифровальщика не сможем без приватного ключа.

 

image.png

Изменено пользователем safety
ArAREM

ArAREM

Опубликовано
  • Автор
Опубликовано

Правильно понимаю, что этот приватный ключ есть только у вымогателей и обращаться в службу поддержки Kaspersky также не имеет особого смысла при таком типе шифровальщика?

safety

safety

Опубликовано
Опубликовано (изменено)

Выполнил проверку зашифрованного файла скриптом,

Цитата

# Check Proxima/BlackShadow (72) encrypted file
# .Hercul, .Dominik, .Elons, .Abram, .Frank, .Funder, .Key2030, .Arthur,
# .Bpant, .Thomas, .innoken, .innok, .RealBer, .Contacto, .contac, .Xp64

файл корректно зашифрован, и может быть расшифрован при наличие приватного ключа.

Да, ключ в данном случае только у злоумышленников. В ЛК они не отправляют приватные ключи.

При наличие лицензии на продукт Касперского можно обратиться в ТП Касперского и получить официальный ответ.

Так как мы все таки, как консультанты, здесь на форуме, не являемся сотрудниками лаборатории.

----

Вы так же можете проверить важные зашифрованные файлы указанным скриптом.

Потому как какая то часть файлов могла быть повреждена  при шифровании по разным причинам. Если файлы повреждены, то не поможет и наличие приватного ключа.

Изменено пользователем safety
ArAREM

ArAREM

Опубликовано
  • Автор
Опубликовано

Понял, попробую тогда обратиться в поддержку.
Большое спасибо за консультацию по данному вопросу!

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Прохор
      Зашифровали корпоративный сервер
      Автор Прохор
      Добрый день, зашифровали корпоративные сервера с требованием выкупа. Что делать не знаем, прилагаю образец шифра и письмо мошенников.
      файлы.rar
    • mutosha
      нужна помощь в дешефровани blackFL (есть exe и строчка с паролем из power shell)
      Автор mutosha
      Добрый день.
       
      Поймали шифровальщика "blackFL", успел скопировать строчку с паролем из открытого power shell, н арабочем столе.
      "C:\Users\Администратор\Pictures>1.exe -path E:\ -pass b9ec0c541dbfd54c9af6ca6cccedaea9"
       
       
      Сам "1.exe" из ""C:\Users\Администратор\Pictures"  скопировать не успел, но нашел какой-то "1.exe" на рабочем столе, приложил.
      Прикладываю логи Farbar Recovery Scan Tool.
       
      Прикладываю ссылку на шифрованный  файл (7.5 мегабайта, а прикрепить можно только менее 5), когда-то это был mp4 ролик, ничего меньше по размеру не нашлось.
      https://transfiles.ru/j5o79
       
      Файлов с требованием у меня встречаются почему-то три с разными названиями, содержимое вроде одно.
       
      Очень надеюсь на помощь.
       
       
      1.7z Addition_01-12-2025 00.35.40.txt FRST_01-12-2025 00.31.27.txt README_BlackFL.txt lK0kDJCSf.README.txt READ_ME.txt
    • Сергей__
      BlackFL
      Автор Сергей__
      Зашифровались файлы BlackFL
      есть дешифратор?
      TNI.zip
    • Alex F
      Шифровальщик BlackFL
      Автор Alex F
      Добрый день.
       
      Прошу помощи в расшифровке файлов зашифрованных вирусом вымогателем.
       
      Архив во вложении. 
      Archive.7z
    • MBA
      Вирус шифровальщик. Файлы с расширением hype
      Автор MBA
      Добрый день. Заразились компы. Помогите с расшифровкой. Файлы зашифрованы и добавилось расширение с текстом ".EMAIL=[ranshype@gmail.com]ID=[35390D080FB82A02].hype". Архив с результатами сканирования, сообщением о выкупе и примерами зашифрованных файлов прилагаю;
      Архив.zip
×
×
  • Создать...