Шифровальшик cofile

[Onisan]

Добрый вечер.

Поймали шифровальшик зашифровалось много файлов (очень нужных пострадала 1с)

прикладываю лог и шифрованый файл в архиве

DoNotCopy.txt.rar

CollectionLog-2017.02.21-00.14.zip

[thyrex]

В архиве только шифрованный файл

[Onisan]

Пытаемся найти сам исходники вируса пока без успешно может подскажете Где искать

[Roman_Five]

 

 

Пытаемся найти сам исходники вируса пока без успешно

незачем. это Crypt0L0cker

теневые копии остались?
попробуйте восстановить: https://www.bleepingcomputer.com/virus-removal/teslacrypt-alphacrypt-ransomware-information#shadow

[Onisan]

Теневые неделались

[Roman_Five]

Тогда пытайтесь восстановить с помощью  R-Studio или Photorec

[Onisan]

Какова вероятность что заплатив вышлют раскодировшик? И возможно ли вообще раскодирование?

[Roman_Five]

этого никто не скажет. 50/50
пообщайтесь со злодеями

[Onisan]

Но в принципе сам факт расшифровки возможен?

[thyrex]

это Crypt0L0cker

Нет, все гораздо проще.

 

Но в принципе сам факт расшифровки возможен?

Да, возможен. Пришлите зашифрованный doc или docx файл

[Onisan]

Вот док файл

dov_poluchenie_dokumentov.doc.rar

[thyrex]

Проверьте личные сообщения

[Onisan]

При много благодарен. Все востановилось, единственное при проходе всего диска большие файлы 1с сменились на нормальные, малые файлы были в 2 экземплярах шифрованый и расшифрованый,а большие только в одном, при попытке обращения к ним выдавали повреждения

Рискнул предположить что дельфи не смог обработать в массиве данные файлы(более 1гб), поэтому переименовал их в шифрованные и обработал программой по новой каждый отдельно, после этого все стало нормально

[thyrex]

Так часто бывает с файлами от 1С. Когда они используются во время работы шифратора, вирус их может зашифровать, но не может переименовать. Поэтому после перезапуска системы он их шифрует по второму кругу и переименовывает.

 

+

• Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Скопируйте содержимое файла в свое следующее сообщение.

[Onisan]

Столкнулся еше с проблемой к серверу по рдп подключается нормально но все браузеры не работают))