Прошу помощи с расшифровкой файлов с расширением .no_more_ransom

[dubrsl]

Здравствуйте.

Система подверглась атаке трояна шифратора и в результате зашифровались важные файлы.

До конца троян доработать не успел, поэтому сообщения от вымогателей нет.

Прилагаю 3 архива.

1. CollectionLog-2017.03.13-13.30.zip

2. В test.rar находится файл 1cv7flt.lst и разные его зашифрованные версии. Это удалось выяснить потому, что имена папок троян не изменял и в папках пользоваиелей 1С находился только один этот зашифрованный файл. Поэтому с большой долей вероятности зашифрованные файлы это один и тот же файл. Возможно это поможет. Интересно, что один и тот же файл каждый раз зашифровывался по-разному.

[slava@work test]$ ll
итого 28
-rwxr-xr-x. 1 slava slava  69 Июл 14  2014 1cv7flt.lst
-rwxr-xr-x. 1 slava slava 464 Мар  3 14:48 '49nKvC2DfgZ3MiRAwVgAy9BzH3zoTiX7SnW+pgElWx8=.863805451051ABB2363F.no_more_ransom'
-rwxr-xr-x. 1 slava slava 464 Мар  3 14:47 'bHNCkxbLOOj5cX0UYyBhHuQ9-US184n09UgtjKliqQs=.863805451051ABB2363F.no_more_ransom'
-rwxr-xr-x. 1 slava slava 464 Мар  3 14:47 '-DtWmSute84G7ZvsBKRmeRsXU+dLk3zxDy8N448nc+g=.863805451051ABB2363F.no_more_ransom'
-rwxr-xr-x. 1 slava slava 464 Мар  3 14:48 'JVnHUsVtwcLmy244i4l+734DMMype4ab5dxuXqOFN8E=.863805451051ABB2363F.no_more_ransom'
-rwxr-xr-x. 1 slava slava 464 Мар  3 14:48 'Xm9uDzYCANT1Yq1+UsuY+slo8y5-XlvArR05Eq7FZGY=.863805451051ABB2363F.no_more_ransom'
-rwxr-xr-x. 1 slava slava 464 Мар  3 14:48 'ycBgZnqOgn4yrnMYXDvXxU826HxiX-EWUO4cuX3MdQs=.863805451051ABB2363F.no_more_ransom'

3. В KVRT_Data.rar результат работы Kaspersky Virus Removal Tool

 

Прошу помощи в расшифровке, если это возможно!

Спасибо.

Да, есть возможность откатить снапшот системы и получить работающую версию шифровальщика.

CollectionLog-2017.03.13-13.30.zip

KVRT_Data.rar

test.rar

[thyrex]

Шифратор запустили прямо на сервере или вирус добрался к нему по сети?

[dubrsl]

Запустили на сервере

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[dubrsl]

Вот результат работы frst.exe

Frst_14032017.zip

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2017-03-02 15:53 - 2017-03-03 16:16 - 00000000 __SHD C:\ProgramData\Windows
2017-03-02 15:53 - 2017-03-02 17:49 - 00000000 ____D C:\Users\yulia\AppData\Local\Temp\6893A5D897
2017-03-02 15:53 - 2017-03-02 15:53 - 00924814 _____ C:\Users\yulia\AppData\Local\Temp\rad85711.tmp
2017-03-02 15:53 - 2017-03-02 15:53 - 00000000 ____D C:\Users\yulia\AppData\Local\Temp\nsu327.tmp
ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} =>  -> No File
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[dubrsl]

Вот Fixlog.txt

Fixlog.txt

[thyrex]

С расшифровкой помочь не сможем

[Sarat]

Господа специаллисты

Если есть алгоритм шифрования, исходный файл и файл результата, а так же один из ключей шифрования - возможно ли сделать расшифровку всех остальных файлов?

[admsmolops]

Господа специаллисты

Если есть алгоритм шифрования, исходный файл и файл результата, а так же один из ключей шифрования - возможно ли сделать расшифровку всех остальных файлов?

я хотел расшифровать при помощи Rannoh Decryptor с https://noransom.kaspersky.com/ru/glavnaya/самый верх списка. У меня запросил исходный файл. Но у меня такого нет. Так что пробуй сам.

[Sarat]

 

Господа специаллисты

Если есть алгоритм шифрования, исходный файл и файл результата, а так же один из ключей шифрования - возможно ли сделать расшифровку всех остальных файлов?

я хотел расшифровать при помощи Rannoh Decryptor с https://noransom.kaspersky.com/ru/glavnaya/самый верх списка. У меня запросил исходный файл. Но у меня такого нет. Так что пробуй сам.

 

Увы, не получилось..