Расшифровать .boris

[BSMP]

Здравствуйте, необходимо расшифровать. Есть копии файлов до и после зашифровки (несколько терабайт многих расширений документов), только этого не нашли. Если лицензия на корпоративного Касперского.

 

Файл для расшифровки.

аукционная документация ремонт.docxdecode77@sfletter.com.zip

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[BSMP]

Логи

CollectionLog-2018.08.03-21.55.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[BSMP]

Прикрепил

Addition.txt

FRST.txt

Изменено 4 августа, 2018 пользователем BSMP

[thyrex]

С 20 июля пытались сами восстановить?

 

C:\Users\kdl\Desktop\README.txt

C:\README.txt

файлы с сообщением от вымогателей?

[BSMP]

Сообщение от вымогателей

Да, из бэкапа. 

README.txt

[thyrex]

На первое предложение в моей предыдущем сообщении не обратили внимания. Жду ответ

[BSMP]

 

Да, из бэкапа. 

[thyrex]

Если хотите попытаться сбрутить ключ на своем сервере, могу выслать инструкцию в ЛС. Понадобится пара шифрованный файл-незашифрованный оригинал + время брута будет очень долгим даже на весьма мощном компьютере

[BSMP]

Хорошо, давайте. На сколько долгим?

[thyrex]

Минимум месяц или чуть больше, максимум - более полугода Ключ генерируется в зависимости от счетчика таймера на момент генерации. Не думаю, что сервер у Вас выключается на ночь, что позволило бы сузить интервал перебора. Продолжаем?

[BSMP]

Давайте

[thyrex]

Проверьте ЛС

 

У автора на 4-хядерном i5 он проверял порядка 600 ключей в секунду. Всего вариантов чуть более 2,1 миллиарда.

 

Если получится, сообщите результат.

 

==== Добавлено ====

 

Судя по логу, шифрование шло под пользователем kdl (в одном логе этот профиль есть, в другом почему-то нет) и посреди рабочего дня. Пользователь сам что-то запускал или внаглую зашли под его учеткой по RDP? Предположительное имя файла шифровальщика svhost.exe. В логах сервера посмотреть это реально?

[BSMP]

Большое спасибо за помощь. 

Изменено 4 августа, 2018 пользователем BSMP