Вирус-шифровальщик

[thyrex]

Тогда возможно, что Вам повезло. На написание дешифратора уйдет какое-то время.

Что касается логов сервера, то безопасность никуда не годится. Логи старые: безопасность и приложения заканчиваются 2016 годом, система - апрелем 2017. Потому и о шифраторе ничего нет в них.

Пароль от RDP на всякий случай смените на более сложный.

Образцы шифрованных файлов вместе с их незашифрованными копиями, которые нужно постараться найти, пришлите архивом на dropmefiles.com

[VictorMN]

вот образцы. это то что сходу нашел. если нужны еще, то буду дальше искать.

http://dropmefiles.com/oXV1J

Изменено 21 июля, 2017 пользователем VictorMN

[thyrex]

Файл только переименован, но не зашифрован. Ищите другие пары

[VictorMN]

новые образцы http://dropmefiles.com/oXV1J

файлы в c:\adfs можно удалять? я пока их переименовал

[thyrex]

Удаляйте.

 

Эти файлы не могут быть парой. Уж слишком размер отличается.

[VictorMN]

последние образцы подошли? возможно будет дешифровать?

[thyrex]

Я же написал

Эти файлы не могут быть парой. Уж слишком размер отличается.

Да и дешифратор пока не начали писать. Пока пытаюсь разобраться в коде.

[VictorMN]

новые образцы http://dropmefiles.com/oXV1J

 

все файлы размер которых меньше 100Кб после шифрования занимают ровно 100Кб

если файл больше 100Кб, то размер оставляет оригинальный

 

и еще вирус шифровал файлы только 2017 года

[thyrex]

В общем нужен файл с ключом keylist.txt

Он или удален в папке с fmon.exe, или искать его нужно в других местах.

Если его не находит R-Studio, значит пробуйте искать другими утилитами. Только помните, что устанавливать их нужно не на системный диск

[VictorMN]

А возможно дешифровать без файла keylist.txt ?

R-Studio и R.Saver не нашли((

сейчас проверяю Recuva (глубокий анализ - 5 часов), но не факт что найдет.

Есть какие-нибудь шансы дешифровать?

[thyrex]

Вы искали его на компьютере в неудаленных?

 

В этом файле хранятся все ключи, из которых вирусвыбирает один.