Перейти к содержанию

Нужна помощь в восстановлении файлов после шифровальщика


Рекомендуемые сообщения

На сервер проник вирус шифровальшик. Никакие файлы не запускались, поскольку произошло в ночное время, когда пользователи точно не работают. Все файлы зашифрованы с расширением FSOCIETY. LicData_10РМ.txt.Id = [FF67A2A] Send To Email=[Elliot.Alderson@mailfence.com].FSOCIETY. Что с этим можно сделать? Какие способы решения? Имеется текстовый файл с запросом выкупа.

Запрос в антивирус.7z FRST.txt Addition.txt

Ссылка на комментарий
Поделиться на другие сайты

11 часов назад, Sandor сказал:

Здравствуйте!

 

Пока пытаемся определить тип вымогателя.

Добрый вечер, если поможет то есть ответ от dr.web Файлы зашифрованы Trojan.Encoder.28501

 

11 часов назад, Sandor сказал:

Здравствуйте!

 

Пока пытаемся определить тип вымогателя.

Вам в любом случае заранее спасибо

Ссылка на комментарий
Поделиться на другие сайты

11 часов назад, Sandor сказал:

Здравствуйте!

 

Пока пытаемся определить тип вымогателя.

И еще вопрос задам. Если есть точная копия нескольких файлов до вируса, то они могут помочь в расшифровке?

Ссылка на комментарий
Поделиться на другие сайты

Шифровалось дважды.

 

Похоже на этот вымогатель.

Предположу, что пара файлов ничем не поможет.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Ссылка на комментарий
Поделиться на другие сайты

27.02.2021 в 09:10, Sandor сказал:

Шифровалось дважды.

 

Похоже на этот вымогатель.

Предположу, что пара файлов ничем не поможет.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Спасибо, воспользовался советом, отправил запрос, взяли в обработку.

6 часов назад, Sandor сказал:

Попробуйте найти тело вируса. Возможно в карантине антивируса или среди удалённых файлов.

Как его опознать? Закончилось тестирование программой восстановления файлов, там есть много удаленных незашифрованных файлов. Что будет отличать файл с телом?

Ссылка на комментарий
Поделиться на другие сайты

27.02.2021 в 08:10, Sandor сказал:

Похоже на этот вымогатель.

Ссылку смотрели? Там есть пример.

 

24 минуты назад, Shumach сказал:

отправил запрос, взяли в обработку

Ответ сообщите здесь, пожалуйста.

Ссылка на комментарий
Поделиться на другие сайты

10 часов назад, Sandor сказал:

Ссылку смотрели? Там есть пример.

 

Ответ сообщите здесь, пожалуйста.

Смотрел, но все равно не понимаю, что искать. Можете поточнее указать, под каким заголовком искать?

Ссылка на комментарий
Поделиться на другие сайты

7 часов назад, Sandor сказал:

 

есть файл Windows_explorer.exe. Удален за несколько минут до времени указанном в перекодированных файлах. Вроде бы похож на подозрительный?

Ссылка на комментарий
Поделиться на другие сайты

Проверьте его на https://www.virustotal.com/gui/home/upload

Ссылку на результат покажите.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты

14 минут назад, Sandor сказал:

Проверьте его на https://www.virustotal.com/gui/home/upload

Ссылку на результат покажите.

т.е. его восстановить и затем закинуть по ссылке?

Ссылка на комментарий
Поделиться на другие сайты

Да, только будьте осторожны, не запустите случайно.

Либо упакуйте его в архив с паролем и через файлообменник ссылку на скачивание отправьте мне в ЛС.

Ссылка на комментарий
Поделиться на другие сайты

2 минуты назад, Sandor сказал:

Да, только будьте осторожны, не запустите случайно.

Либо упакуйте его в архив с паролем и через файлообменник ссылку на скачивание отправьте мне в ЛС.

Собственно этого и боюсь))

 

В общем на данный момент в папке C:\Windows\Vss\Writers\Application лежит как раз приложение Windows_explorer.exe созданный в 0:53 и в удаленных числится файл Windows_explorer.exe тем же временем.

Может сначала забросить на проверку тот файл что лежит?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • AJIEKCAHDP
      Автор AJIEKCAHDP
      Утром (26.02.2025) Зашифровало абсолютно все.  Помогите пож. 
      26022025.rar
    • Amgasan
      Автор Amgasan
      Обнаружил загрузку ГП на но утбуке, при проверке DoctorWeb CureIt выдало Tool.btcmine.2794, после перезагрузки снова восстанавливается как файл WinServiceNetworking.exe. 
      CollectionLog-2025.06.17-21.00.zip
    • Chel_Yaa
      Автор Chel_Yaa
      Заметил что ноутбук начал шуметь во время простоя также видеокарта забита на 100%
       
       
      CollectionLog-2025.06.16-20.26.zip
    • Равиль.М
      Автор Равиль.М
      Добрый день. Поймали вирус-шифровальщик, поразил весь файловый серв. Все началось после того как подключились через Anydesk. На двух пользовательских компьютерах замещены вирусы после проверки KES. Лог файл приложил
      FRST.rar KVRT2020_Data.rar Обнаружено KES.rar Файлы шифрованные.rar
    • Guffi
      Автор Guffi
      Всем привет! Прошу помощи. Проблема в следующем. Есть батник, который запускает скрипт на вывод уведомления по событию. Когда я прописываю путь к файлу и запускаю тестовое сообщение, то он выкидывает ошибку что файл запустить не удалось. 
      В чем может быть причина? Почему он не хочет запускать исполняемый файл?
       

×
×
  • Создать...