Перейти к содержанию

Прошу помощи с расшифровкой файлов с расширением .no_more_ransom


Рекомендуемые сообщения

Здравствуйте.

Система подверглась атаке трояна шифратора и в результате зашифровались важные файлы. :(

До конца троян доработать не успел, поэтому сообщения от вымогателей нет.

Прилагаю 3 архива.

1. CollectionLog-2017.03.13-13.30.zip

2. В test.rar находится файл 1cv7flt.lst и разные его зашифрованные версии. Это удалось выяснить потому, что имена папок троян не изменял и в папках пользоваиелей 1С находился только один этот зашифрованный файл. Поэтому с большой долей вероятности зашифрованные файлы это один и тот же файл. Возможно это поможет. Интересно, что один и тот же файл каждый раз зашифровывался по-разному.

[slava@work test]$ ll
итого 28
-rwxr-xr-x. 1 slava slava  69 Июл 14  2014 1cv7flt.lst
-rwxr-xr-x. 1 slava slava 464 Мар  3 14:48 '49nKvC2DfgZ3MiRAwVgAy9BzH3zoTiX7SnW+pgElWx8=.863805451051ABB2363F.no_more_ransom'
-rwxr-xr-x. 1 slava slava 464 Мар  3 14:47 'bHNCkxbLOOj5cX0UYyBhHuQ9-US184n09UgtjKliqQs=.863805451051ABB2363F.no_more_ransom'
-rwxr-xr-x. 1 slava slava 464 Мар  3 14:47 '-DtWmSute84G7ZvsBKRmeRsXU+dLk3zxDy8N448nc+g=.863805451051ABB2363F.no_more_ransom'
-rwxr-xr-x. 1 slava slava 464 Мар  3 14:48 'JVnHUsVtwcLmy244i4l+734DMMype4ab5dxuXqOFN8E=.863805451051ABB2363F.no_more_ransom'
-rwxr-xr-x. 1 slava slava 464 Мар  3 14:48 'Xm9uDzYCANT1Yq1+UsuY+slo8y5-XlvArR05Eq7FZGY=.863805451051ABB2363F.no_more_ransom'
-rwxr-xr-x. 1 slava slava 464 Мар  3 14:48 'ycBgZnqOgn4yrnMYXDvXxU826HxiX-EWUO4cuX3MdQs=.863805451051ABB2363F.no_more_ransom'

3. В KVRT_Data.rar результат работы Kaspersky Virus Removal Tool

 

Прошу помощи в расшифровке, если это возможно!

Спасибо.


Да, есть возможность откатить снапшот системы и получить работающую версию шифровальщика.

CollectionLog-2017.03.13-13.30.zip

KVRT_Data.rar

test.rar

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2017-03-02 15:53 - 2017-03-03 16:16 - 00000000 __SHD C:\ProgramData\Windows
2017-03-02 15:53 - 2017-03-02 17:49 - 00000000 ____D C:\Users\yulia\AppData\Local\Temp\6893A5D897
2017-03-02 15:53 - 2017-03-02 15:53 - 00924814 _____ C:\Users\yulia\AppData\Local\Temp\rad85711.tmp
2017-03-02 15:53 - 2017-03-02 15:53 - 00000000 ____D C:\Users\yulia\AppData\Local\Temp\nsu327.tmp
ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} =>  -> No File
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты

Господа специаллисты

Если есть алгоритм шифрования, исходный файл и файл результата, а так же один из ключей шифрования - возможно ли сделать расшифровку всех остальных файлов?

Ссылка на комментарий
Поделиться на другие сайты

Господа специаллисты

Если есть алгоритм шифрования, исходный файл и файл результата, а так же один из ключей шифрования - возможно ли сделать расшифровку всех остальных файлов?

я хотел расшифровать при помощи Rannoh Decryptor с https://noransom.kaspersky.com/ru/glavnaya/самый верх списка. У меня запросил исходный файл. Но у меня такого нет. Так что пробуй сам.

Ссылка на комментарий
Поделиться на другие сайты

 

Господа специаллисты

Если есть алгоритм шифрования, исходный файл и файл результата, а так же один из ключей шифрования - возможно ли сделать расшифровку всех остальных файлов?

я хотел расшифровать при помощи Rannoh Decryptor с https://noransom.kaspersky.com/ru/glavnaya/самый верх списка. У меня запросил исходный файл. Но у меня такого нет. Так что пробуй сам.

 

Увы, не получилось.. :(

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Константин agromoll34
      От Константин agromoll34
      У нас сейчас точно такая же проблема, как решить вопрос?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Сергей Комаров
      От Сергей Комаров
      Добрый день! Сегодня в 3 ночи были зашифрованы все виртуальные машины (hyper-v) и файлы бэкапов на серверах компании.
      Пример зашифрованных файлов и readme прилагаю.
       
      Прошу помощи в определении типа шифровальщика и расшифровке.
      db2a95f2436fe2bc3ce6f2-README.txt Files.zip
    • Marauders666
      От Marauders666
      Приветствую всех! Прошу о помощи, залетел шифровальщик. Путем поиска нашел что возможно расшифровать с помощью RannohDecryptor, но он мне пишет:Can't initialize on pair
      Файлы которые нашел прикладываю. (Я так понимаю софт через который это все сделали и оригинал файла xx .txt я подумал может быть это ключ..
       
    • Xynire
      От Xynire
      Измучал меня этот троян. Антивирус борется с ним, но после перезагрузки будто ничего не было. Заранее благодарю
    • LamerMan
      От LamerMan
      Здравствуйте, 04.10.2022 на комп попал вирус-шифровальщик Elbie Ransomware, все файлы стали с расширением .lnk.id[E2638681-3398].[helprequest@techmail.info].Elbie
      Обратились в компанию по расшифровке, сказали цену 250 тыс. рублей. Сотрудник подключился удаленно и просканировал систему, оставив за собой софт(приложу во вложения)
      На момент заражения был открыт порт 3389 и настроено рдп с несложными паролями, на компе стоял Kaspersky Free (AVP21.3), есть предположение, что злоумышленник ботнетом пинговал айпишники с к классическими портами, затем забрутфорсил пароль
      Программа сотрудника аутсорс компании сканирует файлы, а затем выдает какой-то код, я так и не разобрался что с ним делать, он сказал что этим кодом пишется дешифратор. Так же там есть .exe программа, в которой ей кнопка decrypt, но она требует какой-то ключ, надеюсь, найдется человек, который сможет с этим разобраться
      Elbie Decrypt.zip
×
×
  • Создать...