Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Прошу помочь расшифровать. Есть Исходник и расшифрованный вариант от злоумышленника.

Orbeatt
 Поделиться

Рекомендуемые сообщения

Orbeatt

Orbeatt

Опубликовано
Опубликовано

В архиве 2 файла упакованные шифровальщиком и они же расшифрованные злоумышленником. Прошу помочь со средством для расшифровки остальных файлов

files2.rar
 

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

Для уточнения типа шифровальщика добавьте записку о выкупе

+

4.  Что необходимо сделать:

  • Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool. Если система была переустановлена, то предупредите консультантов в своей теме об этом.
Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

Судя по шаблону зашифрованного файла это может быть Sauron по нашей классификации

FN.[ID-E5DAFA5D].[Telegram ID @Malware_dev2].XRIYJZ

Пример из предыдущего случая.

https://www.virustotal.com/gui/file/88079b659ee6543a75ec8756e09147c227358a7765f340e7236eee975f4ed070/behavior

записка о выкупе может быть такой:

#README-TO-DECRYPT-FILES.txt

И да, пара здесь не поможет для получения приватного ключа.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

Если сохранились логи сканирования из зашифрованной системы, или были найдены сэмпл шифровальщика добавьте по ссылке в архиве с паролем virus

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • VtrSf
      Где в Kaspersky Plus опция, назначающая для неизвестных программ варианты действий?
      Автор VtrSf
      Здравствуйте.
      Был у меня в компьютере до недавнего времени Касперский Интернет Секюрити. В его опциях, в «Контроле программ» выставлял для неизвестных программ вариант помещать в группу «Недоверенные», и менял эту опцию на «Автоматически» только, когда надо было установить в компьютер новую программу. Когда новая программа начинала работать, снова в той же опции выставлял «Недоверенные». 
      Недавно он в компьютере обновился до  Kaspersky Plus.
      Надумал ставить программу из Инета. Скачал файл, запускаю, выдаёт, что «Windows не удаётся получить ...».

      Вспоминаю про опцию, выставленную на «Недоверенные», ищу её в  Kaspersky Plus и не нахожу. 
      Может, дело не в этом, но что делать? В сетевых правилах приложений нашёл файл в недоверенных, поставил «разрешить». Не помогло.

      Где же в  Kaspersky Plus вышеописанное переключение для неизвестных программ? Как установить программу?
       
    • Helsing13
      Прошу помощи с расшифровкой Trojan.Encoder.31074
      Автор Helsing13
      Добрый день! В результате атаки была зашифрована система. Все файлы стали с расширением lpdVIpAg7.
      После перезагрузки система работает но не все программы запускаются.
      Во вложении: письмо требование, пример зашифрованных файлов, отчеты о работе FRST, и несколько подозрительных исполняемых файлов.
       
      Пароль на оба архива: 1234
       
      virus.zip lpdVIpAg7.README.txt Addition.txt FRST.txt files.zip
    • Drozdovanton
      Помогите расшифровать данные cry lock
      Автор Drozdovanton
      Помогите пожалуйста расшифровать данные, прикрепить данные не могу так как ограничение по расширению файлов
    • Роман Суслов
      Прошу помощи в восстановлении данных после шифровальщика KREMLIN
      Автор Роман Суслов
      Добрый день! В результате RDP атаки была зашифрована система. Все файлы стали с расширением KREMLIN.
      После перезагрузки система мертва, т.к. зашифрованы и системные файлы тоже. 
      Нашел некий cryptor.exe на рабочем столе.
      Во вложении: письмо требование, пример зашифрованного файла и его незашифрованная версия, cryptor.exe в архиве (пароль virus).
       
      Письмо требование:
      ID: 3TpvNLVFm8BEBn58soumz8cf2sz2dzWN 
       Need restore files? Contact us in telegram(desktop.telegram.org) - @KremlinRestore
       
       
      README.txt cryptor.zip зашифрованный файл.zip
      Исходный файл для сравнения, не влез в тему.
      исходник.zip
    • Evgeniy Alekseevich
      Файлы зашифрованы, расширение файлов helpo2, как расшифровать ?
      Автор Evgeniy Alekseevich
      05 августа , судя по датам файлов, на нашем сервере был запущен шифровальщик, кем и как пока выясняем, но сегодня утром я обнаружил зашифрованы практически все файлы.
      Файлы имеют расширение helpo2.
      Может кто сталкивался и сможет помочь ?
      Связались с вымогателями, они для примера расшифровали два файла, я вложил в архив два зашифрованных и они же расшифрованные . Там же письмо, которое они оставили.
      Также прикладываю файлы от  Farbar Recovery Scan Tool.
      Может кто сможет помочь....
      С Уважением, Евгений.
       
       
      Addition.txt FRST.txt НаборФайлов5шт.zip
×
×
  • Создать...