Перейти к содержанию

Интересный вирус. Шифровальщик зашифровал все файлы и удалил их

АлексейЧеч
 Share

Рекомендуемые сообщения

АлексейЧеч Новичок

АлексейЧеч

Опубликовано
Опубликовано

Здравствуйте! Ситуация в следующая,  знакомый бухгалтер обратился за помощью, не смогли войти в 1с. После анализа оказалось, что на сервере удалены все файлы создано два архива с.bin d.bin, которые закрыты паролем естественно в каждом каталоге файл с требованием выкупа. Удаленные файлы почти все возможно восстановить, но все они зашифрованы шифровальщиком с расширение .EnCiPhErEd, диск сейчас не вылечен подключен к другому компьютеру. Расшифровать восстановленные файлы не удается ни xoristdecryptor ни утилитой от Веба. Проверка Kaspersky Security Scan нашла много вирусов Virus.Win32.Neshta.a, и троян trojan-ransom.win32.xorist.ln. Подскажите пожалуйста что сделать, судя по форуму такие данные можно рассшифровать. зараженный файл и его не зашифрованный аналог прилагаю. Если нужны логи программ я не знаю что нужно восстановить удаленные файлы и вылечить сервер или можно делать на компьютере к которому сейчас подключен зараженный диск.   сервер вполне вероятно восстановить не получится а данные очень нужно восстановить.

222.zip

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

Ссылка на комментарий
Поделиться на другие сайты
АлексейЧеч Новичок

АлексейЧеч

Опубликовано
  • Автор
Опубликовано

Просто не понятно на каком компе делать проверку и запускать автоматический сборщик логов. Можно ли на том где сейчас подключен зараженный диск?

Ссылка на комментарий
Поделиться на другие сайты
АлексейЧеч Новичок

АлексейЧеч

Опубликовано
  • Автор
Опубликовано

Не получается поднять сервер после удаления вирусов то один файл не тот то другой может можно с загрузочного лайф сд загрузиться  и логи сделать

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Сервер проще будет переустановить, если цель - спасти важные зашифрованные (не заархивированные) файлы.
Зашифрованные с расширением .EnCiPhErEd можете одним архивом выложить на Яндекс диск и прислать ссылку мне в ЛС?

Ссылка на комментарий
Поделиться на другие сайты
АлексейЧеч Новичок

АлексейЧеч

Опубликовано
  • Автор
Опубликовано

Спасибо за помощь! файлы удаленные восстановил  с помощью рстудио , теперь пошла расшифровка с помощью вашего ключа,архивы зашифрованные просто удалил. все удачно

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Zakhar62668
      Помогите удалить вирус
      От Zakhar62668
      Виндоус дефендер находит постоянно трояны, но удалить не может, также пытался установить разные антивирусы, но все они не запускаются, вылетают ошибки, а также в исключениях есть файлы, которые не удаляются. Сейчас, посмотрев форум, запустил компьютер в безопасном режиме и через флешку установил фарбар рекавери скан тулс(чтоб запустить его пришлось удалить ограничения в редакторе реестра)
    • specxpilot
      Вирус зашифровал файлы с расширением .iw8
      От specxpilot
      Текст сообщения 
      !!!Your files have been encrypted!!!
      To recover them, please contact us via email:
      Write the ID in the email subject
      ID: E3EA701E87735CC1E8DD980E923F89D4
      Email 1: Datablack0068@gmail.com
      Email 2: Datablack0068@cyberfear.com
      Telegram: @Datablack0068

      To ensure decryption you can send 1-2 files (less than 1MB) we will decrypt it for free.
      IF 48 HOURS PASS WITHOUT YOUR ATTENTION, BRACE YOURSELF FOR A DOUBLED PRICE.
      WE DON'T PLAY AROUND HERE, TAKE THE HOURS SERIOUSLY.
    • ALFGreat
      Шифровальщик BitLocker зашифровал все диски и файлы.
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Эльнар
      Помогите пожалуйста удалить вирус
      От Эльнар
      Здравствуйте! Помогите пожалуйста удалить вирус, скорее всего майнер. Он постоянно нагружает процессор, даже на рабочем столе. Как только открываю диспетчер задач, обороты вентиляторов процессора падают до нормального. Как только выхожу из диспетчера задач сразу обороты вентиляторов растут. При открытии диспетчера задач я не успеваю увидеть какой процесс нагружает компьютер. Эта проблема началась когда я установил программу видеомонтажа Magix Vegas Pro не с официального сайта. Так же из проблем не получается зайти в конфигурацию системы (msconfig), окошко сразу закрывается. При запуске антивируса Malwarebytes, он тоже сразу закрывается. Когда зашёл в систему через безопасную загрузку msconfig также не открывается, но удалось запустить malwarebytes и drweb, они нашли вирусы, но проблема не ушла. Запустил Kaspersky Removal Tool, он долго сканировал и нашёл вирусы. Один из них располагался в папке куда был установлен Magix Vegas Pro. После удаления вирусов ситуация к сожалению не изменилась. Приложил отчёт сборщика логов.
      CollectionLog-2024.12.02-15.07.zip
    • sater123
      Вирус шифровальщик
      От sater123
      Добрый день. Зашифровались файлы размером более 8 мегабайт (их почта datastore@cyberfear.com). Помогите пожалуйста.
      Зашифрованные файлы не могу прикрепить, так как их размер более 5Мб.
      FRST.txt Addition.txt
×
×
  • Создать...