Перейти к содержанию
Летний корпоратив «Лаборатории Касперского» 2025. Как попасть?

Нужна помощь в восстановлении файлов после шифровальщика

Shumach
 Поделиться

Рекомендуемые сообщения

Shumach Новичок

Shumach

Опубликовано
Опубликовано

На сервер проник вирус шифровальшик. Никакие файлы не запускались, поскольку произошло в ночное время, когда пользователи точно не работают. Все файлы зашифрованы с расширением FSOCIETY. LicData_10РМ.txt.Id = [FF67A2A] Send To Email=[Elliot.Alderson@mailfence.com].FSOCIETY. Что с этим можно сделать? Какие способы решения? Имеется текстовый файл с запросом выкупа.

Запрос в антивирус.7z FRST.txt Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
Shumach Новичок

Shumach

Опубликовано
  • Автор
Опубликовано
11 часов назад, Sandor сказал:

Здравствуйте!

 

Пока пытаемся определить тип вымогателя.

Добрый вечер, если поможет то есть ответ от dr.web Файлы зашифрованы Trojan.Encoder.28501

 

11 часов назад, Sandor сказал:

Здравствуйте!

 

Пока пытаемся определить тип вымогателя.

Вам в любом случае заранее спасибо

Ссылка на комментарий
Поделиться на другие сайты
Shumach Новичок

Shumach

Опубликовано
  • Автор
Опубликовано
11 часов назад, Sandor сказал:

Здравствуйте!

 

Пока пытаемся определить тип вымогателя.

И еще вопрос задам. Если есть точная копия нескольких файлов до вируса, то они могут помочь в расшифровке?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Шифровалось дважды.

 

Похоже на этот вымогатель.

Предположу, что пара файлов ничем не поможет.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Ссылка на комментарий
Поделиться на другие сайты
Shumach Новичок

Shumach

Опубликовано
  • Автор
Опубликовано
27.02.2021 в 09:10, Sandor сказал:

Шифровалось дважды.

 

Похоже на этот вымогатель.

Предположу, что пара файлов ничем не поможет.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Спасибо, воспользовался советом, отправил запрос, взяли в обработку.

6 часов назад, Sandor сказал:

Попробуйте найти тело вируса. Возможно в карантине антивируса или среди удалённых файлов.

Как его опознать? Закончилось тестирование программой восстановления файлов, там есть много удаленных незашифрованных файлов. Что будет отличать файл с телом?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
27.02.2021 в 08:10, Sandor сказал:

Похоже на этот вымогатель.

Ссылку смотрели? Там есть пример.

 

24 минуты назад, Shumach сказал:

отправил запрос, взяли в обработку

Ответ сообщите здесь, пожалуйста.

Ссылка на комментарий
Поделиться на другие сайты
Shumach Новичок

Shumach

Опубликовано
  • Автор
Опубликовано
10 часов назад, Sandor сказал:

Ссылку смотрели? Там есть пример.

 

Ответ сообщите здесь, пожалуйста.

Смотрел, но все равно не понимаю, что искать. Можете поточнее указать, под каким заголовком искать?

Ссылка на комментарий
Поделиться на другие сайты
Shumach Новичок

Shumach

Опубликовано
  • Автор
Опубликовано
7 часов назад, Sandor сказал:

 

есть файл Windows_explorer.exe. Удален за несколько минут до времени указанном в перекодированных файлах. Вроде бы похож на подозрительный?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

Проверьте его на https://www.virustotal.com/gui/home/upload

Ссылку на результат покажите.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
Shumach Новичок

Shumach

Опубликовано
  • Автор
Опубликовано
14 минут назад, Sandor сказал:

Проверьте его на https://www.virustotal.com/gui/home/upload

Ссылку на результат покажите.

т.е. его восстановить и затем закинуть по ссылке?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Да, только будьте осторожны, не запустите случайно.

Либо упакуйте его в архив с паролем и через файлообменник ссылку на скачивание отправьте мне в ЛС.

Ссылка на комментарий
Поделиться на другие сайты
Shumach Новичок

Shumach

Опубликовано
  • Автор
Опубликовано
2 минуты назад, Sandor сказал:

Да, только будьте осторожны, не запустите случайно.

Либо упакуйте его в архив с паролем и через файлообменник ссылку на скачивание отправьте мне в ЛС.

Собственно этого и боюсь))

 

В общем на данный момент в папке C:\Windows\Vss\Writers\Application лежит как раз приложение Windows_explorer.exe созданный в 0:53 и в удаленных числится файл Windows_explorer.exe тем же временем.

Может сначала забросить на проверку тот файл что лежит?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • AJIEKCAHDP
      Нужна помощь, Шифровальщик cyberfear
      Автор AJIEKCAHDP
      Утром (26.02.2025) Зашифровало абсолютно все.  Помогите пож. 
      26022025.rar
    • Равиль.М
      Помощь в расшифровке файлов
      Автор Равиль.М
      Добрый день. Поймали вирус-шифровальщик, поразил весь файловый серв. Все началось после того как подключились через Anydesk. На двух пользовательских компьютерах замещены вирусы после проверки KES. Лог файл приложил
      FRST.rar KVRT2020_Data.rar Обнаружено KES.rar Файлы шифрованные.rar
    • Tadmin
      [РАСШИФРОВАНО] Помощь с восстановлением файлов после шифровальщика hopeandhonest@smime.ninja
      Автор Tadmin
      Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов.
      hopeandhonest@smime.ninja.zip
    • ArAREM
      Помощь в восстановлении и расшифровке файлов Real.Berserk2000@mailum.com
      Автор ArAREM
      Здравствуйте!
      Около двух месяцев назад на корпоративный сервер организации попал вирус-шифровальщик. Все базы данных 1C и важные файлы были зашифрованы. На данный момент уже проведены все мероприятия для восстановления работоспособности и налаживания безопасности, однако после этого инцидента остался жесткий диск с сервера с зашифрованными на нём файлами. Исходя из всех проведенных проверок - самого вирус-шифровальщика на нём уже нет. Файл FRST не смогу предоставить, так как накопитель уже не используется на сервере и по сути просто лежит у обслуживающей организации ожидая выхода дешифратора.
      В свою очередь изначально в качестве одного из "условий" сделки, которую мы, естественно, не стали проводить после получения необходимого файла, нам удалось убедить злоумышленников расшифровать один из наших файлов для подтверждения возможности расшифровки. Возможно это как-то поможет в подборе дешифратора.
      В архиве будут представлены: текст с требованием, а также два других зашифрованных файла малого размера (архив Files).
      Хотел также прикрепить дополнительно образец расшифрованного файла базы данных Excel ДО и ПОСЛЕ расшифровки, но каждый из них весит по 3 мб, поэтому форма заполнения обращения не позволяет прикрепить их оба. В связи с чем в архиве (Sample) прикреплю уже расшифрованный файл. Если дополнительно понадобится версия файла ДО расшифровки, то предоставлю отдельным сообщением.
      Files KP.zip Sample.zip
    • Guffi
      Отправка уведомлений о событиях с помощью исполняемого файла
      Автор Guffi
      Всем привет! Прошу помощи. Проблема в следующем. Есть батник, который запускает скрипт на вывод уведомления по событию. Когда я прописываю путь к файлу и запускаю тестовое сообщение, то он выкидывает ошибку что файл запустить не удалось. 
      В чем может быть причина? Почему он не хочет запускать исполняемый файл?
       

×
×
  • Создать...