Интересный вирус. Шифровальщик зашифровал все файлы и удалил их

[АлексейЧеч]

Здравствуйте! Ситуация в следующая,  знакомый бухгалтер обратился за помощью, не смогли войти в 1с. После анализа оказалось, что на сервере удалены все файлы создано два архива с.bin d.bin, которые закрыты паролем естественно в каждом каталоге файл с требованием выкупа. Удаленные файлы почти все возможно восстановить, но все они зашифрованы шифровальщиком с расширение .EnCiPhErEd, диск сейчас не вылечен подключен к другому компьютеру. Расшифровать восстановленные файлы не удается ни xoristdecryptor ни утилитой от Веба. Проверка Kaspersky Security Scan нашла много вирусов Virus.Win32.Neshta.a, и троян trojan-ransom.win32.xorist.ln. Подскажите пожалуйста что сделать, судя по форуму такие данные можно рассшифровать. зараженный файл и его не зашифрованный аналог прилагаю. Если нужны логи программ я не знаю что нужно восстановить удаленные файлы и вылечить сервер или можно делать на компьютере к которому сейчас подключен зараженный диск.   сервер вполне вероятно восстановить не получится а данные очень нужно восстановить.

222.zip

[SQ]

Здравствуйте,

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

[АлексейЧеч]

Просто не понятно на каком компе делать проверку и запускать автоматический сборщик логов. Можно ли на том где сейчас подключен зараженный диск?

[SQ]

Логи нужны того устройства, где непосредственно был запущен процесс заражение.

[Sandor]

в каждом каталоге файл с требованием выкупа

Его тоже прикрепите, пожалуйста.

[АлексейЧеч]

Не получается поднять сервер после удаления вирусов то один файл не тот то другой может можно с загрузочного лайф сд загрузиться  и логи сделать

[thyrex]

Сервер проще будет переустановить, если цель - спасти важные зашифрованные (не заархивированные) файлы.
Зашифрованные с расширением .EnCiPhErEd можете одним архивом выложить на Яндекс диск и прислать ссылку мне в ЛС?

[АлексейЧеч]

там много получается больше 100гигов

[thyrex]

В архиве 100 гигов? Обычно даже шифрованные базы 1С хорошо сжимаются в архив

[АлексейЧеч]

сейчас выбиру самое важное восстановлю посчитаю

[АлексейЧеч]

получилось около 10гигов это много?

[thyrex]

Высылайте

[АлексейЧеч]

Спасибо за помощь! файлы удаленные восстановил  с помощью рстудио , теперь пошла расшифровка с помощью вашего ключа,архивы зашифрованные просто удалил. все удачно