decrypt@india

[s1271tvg]

поймали шифровальщик decrypt@india есть ли способы расшифровать данные?

пример файла прикладываю, файл зажал в архив

7z1602.exe.id-8680120B.destroyer0@india.com.zip

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[s1271tvg]

прошу прощения не сразу прочитал правила оформления темы.

большинство файлов подняли из теневого архива, или из бекапов. но пара архивных баз 1с оказалась зашифрованной и не можем найти копий, поэтому все же прошу помощи.

шифрование произошло ночью 27.08.17 на терминальном сервере без админских прав пользователя.

 

прикладываю файл автологгера

 

 

 

 

CollectionLog-2017.09.10-23.29.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[s1271tvg]

готово

Desktop.zip

Изменено 10 сентября, 2017 пользователем s1271tvg

[s1271tvg]

вообще реально расшифровать зашифрованные данные или надо искать более другие методы поиска базы утерянной?

[thyrex]

Это одна из последних модификаций CrySis. Расшифровки нет.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2017-09-10 22:24 - 2017-09-02 18:52 - 000069120 ____H C:\Users\manager\Desktop\svchоst.exe
2017-09-10 22:24 - 2017-09-02 18:52 - 000069120 _____ C:\Users\manager\AppData\Roaming\svchоst.exe
C:\ProgramData\UserProfileMigrationService.exe
C:\Users\Все пользователи\UserProfileMigrationService.exe

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Перезагрузку компьютера выполните вручную.

[s1271tvg]

готово. 

сейчас ковырялся нашел еще одну заразу. точнее результат еще работы.

некоторые файлы были зашифрованы повторно, но уже другим шифратором. сделано это было 10.09 в 22,25 тоесть опять в нерабочее время.

все выгрузки в этой теме делал как оказалось уже после запуска второго шифровальщика.

 

расширение файлов новой заразы *.zuzya

Fixlog.txt

[thyrex]

Пароль от RDP смените на более сложный. И порт по умолчанию тоже.

 

Зюзя - это GlobeImposter2, если мне не изменяет память. И удаляемые последним скриптом файлы от него. Расшифровки тоже нет.