Перейти к содержанию

Прошу помощи с расшифровкой файлов с расширением .no_more_ransom

dubrsl
 Share

Рекомендуемые сообщения

dubrsl Новичок

dubrsl

Опубликовано
Опубликовано

Здравствуйте.

Система подверглась атаке трояна шифратора и в результате зашифровались важные файлы. :(

До конца троян доработать не успел, поэтому сообщения от вымогателей нет.

Прилагаю 3 архива.

1. CollectionLog-2017.03.13-13.30.zip

2. В test.rar находится файл 1cv7flt.lst и разные его зашифрованные версии. Это удалось выяснить потому, что имена папок троян не изменял и в папках пользоваиелей 1С находился только один этот зашифрованный файл. Поэтому с большой долей вероятности зашифрованные файлы это один и тот же файл. Возможно это поможет. Интересно, что один и тот же файл каждый раз зашифровывался по-разному.

[slava@work test]$ ll
итого 28
-rwxr-xr-x. 1 slava slava  69 Июл 14  2014 1cv7flt.lst
-rwxr-xr-x. 1 slava slava 464 Мар  3 14:48 '49nKvC2DfgZ3MiRAwVgAy9BzH3zoTiX7SnW+pgElWx8=.863805451051ABB2363F.no_more_ransom'
-rwxr-xr-x. 1 slava slava 464 Мар  3 14:47 'bHNCkxbLOOj5cX0UYyBhHuQ9-US184n09UgtjKliqQs=.863805451051ABB2363F.no_more_ransom'
-rwxr-xr-x. 1 slava slava 464 Мар  3 14:47 '-DtWmSute84G7ZvsBKRmeRsXU+dLk3zxDy8N448nc+g=.863805451051ABB2363F.no_more_ransom'
-rwxr-xr-x. 1 slava slava 464 Мар  3 14:48 'JVnHUsVtwcLmy244i4l+734DMMype4ab5dxuXqOFN8E=.863805451051ABB2363F.no_more_ransom'
-rwxr-xr-x. 1 slava slava 464 Мар  3 14:48 'Xm9uDzYCANT1Yq1+UsuY+slo8y5-XlvArR05Eq7FZGY=.863805451051ABB2363F.no_more_ransom'
-rwxr-xr-x. 1 slava slava 464 Мар  3 14:48 'ycBgZnqOgn4yrnMYXDvXxU826HxiX-EWUO4cuX3MdQs=.863805451051ABB2363F.no_more_ransom'

3. В KVRT_Data.rar результат работы Kaspersky Virus Removal Tool

 

Прошу помощи в расшифровке, если это возможно!

Спасибо.


Да, есть возможность откатить снапшот системы и получить работающую версию шифровальщика.

CollectionLog-2017.03.13-13.30.zip

KVRT_Data.rar

test.rar

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2017-03-02 15:53 - 2017-03-03 16:16 - 00000000 __SHD C:\ProgramData\Windows
2017-03-02 15:53 - 2017-03-02 17:49 - 00000000 ____D C:\Users\yulia\AppData\Local\Temp\6893A5D897
2017-03-02 15:53 - 2017-03-02 15:53 - 00924814 _____ C:\Users\yulia\AppData\Local\Temp\rad85711.tmp
2017-03-02 15:53 - 2017-03-02 15:53 - 00000000 ____D C:\Users\yulia\AppData\Local\Temp\nsu327.tmp
ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} =>  -> No File
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
Sarat Новичок

Sarat

Опубликовано
Опубликовано

Господа специаллисты

Если есть алгоритм шифрования, исходный файл и файл результата, а так же один из ключей шифрования - возможно ли сделать расшифровку всех остальных файлов?

Ссылка на комментарий
Поделиться на другие сайты
admsmolops Новичок

admsmolops

Опубликовано
Опубликовано

Господа специаллисты

Если есть алгоритм шифрования, исходный файл и файл результата, а так же один из ключей шифрования - возможно ли сделать расшифровку всех остальных файлов?

я хотел расшифровать при помощи Rannoh Decryptor с https://noransom.kaspersky.com/ru/glavnaya/самый верх списка. У меня запросил исходный файл. Но у меня такого нет. Так что пробуй сам.

Ссылка на комментарий
Поделиться на другие сайты
Sarat Новичок

Sarat

Опубликовано
Опубликовано

 

Господа специаллисты

Если есть алгоритм шифрования, исходный файл и файл результата, а так же один из ключей шифрования - возможно ли сделать расшифровку всех остальных файлов?

я хотел расшифровать при помощи Rannoh Decryptor с https://noransom.kaspersky.com/ru/glavnaya/самый верх списка. У меня запросил исходный файл. Но у меня такого нет. Так что пробуй сам.

 

Увы, не получилось.. :(

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • vasili_rb
      Прошу помощи
      От vasili_rb
      Добрый день.
      Очень нужна помощь. Хватанул какого то трояна скорее всего.
      Не запускаются виртуальные машины в Hyper-V, перестали работать обновления 
      SRVMAIN_2025-02-12_11-59-20_v4.99.8v x64.7z
       
      HyperV восcтановил путем удаления роли и установкой по новому.
    • gin
      Помощь в расшифровке файлов
      От gin
      Добрый день! Просьба помочь расшифровать файлы
      логи FRST.zip записка.zip примеры файлов.zip
    • Leo_Pahomov
      расшифровка файлов
      От Leo_Pahomov
      Все файлы зашифрованы типом файла YAKRDXSNS
      DESKTOP-5B9SCJG_2025-02-21_17-43-06_v4.99.9v x64.7z
      Сообщение от модератора thyrex Темы объединены
    • Leo_Pahomov
      расшифровка файлов
      От Leo_Pahomov
      Все файлы зашифрованы типом файла YAKRDXSNS
      DESKTOP-5B9SCJG_2025-02-21_17-43-06_v4.99.9v x64.7z
      Сообщение от модератора thyrex Темы объединены
    • ArAREM
      Помощь в восстановлении и расшифровке файлов Real.Berserk2000@mailum.com
      От ArAREM
      Здравствуйте!
      Около двух месяцев назад на корпоративный сервер организации попал вирус-шифровальщик. Все базы данных 1C и важные файлы были зашифрованы. На данный момент уже проведены все мероприятия для восстановления работоспособности и налаживания безопасности, однако после этого инцидента остался жесткий диск с сервера с зашифрованными на нём файлами. Исходя из всех проведенных проверок - самого вирус-шифровальщика на нём уже нет. Файл FRST не смогу предоставить, так как накопитель уже не используется на сервере и по сути просто лежит у обслуживающей организации ожидая выхода дешифратора.
      В свою очередь изначально в качестве одного из "условий" сделки, которую мы, естественно, не стали проводить после получения необходимого файла, нам удалось убедить злоумышленников расшифровать один из наших файлов для подтверждения возможности расшифровки. Возможно это как-то поможет в подборе дешифратора.
      В архиве будут представлены: текст с требованием, а также два других зашифрованных файла малого размера (архив Files).
      Хотел также прикрепить дополнительно образец расшифрованного файла базы данных Excel ДО и ПОСЛЕ расшифровки, но каждый из них весит по 3 мб, поэтому форма заполнения обращения не позволяет прикрепить их оба. В связи с чем в архиве (Sample) прикреплю уже расшифрованный файл. Если дополнительно понадобится версия файла ДО расшифровки, то предоставлю отдельным сообщением.
      Files KP.zip Sample.zip
×
×
  • Создать...