crypren Нужна помощь в восстановлении файлов после шифровальщика

[Shumach]

На сервер проник вирус шифровальшик. Никакие файлы не запускались, поскольку произошло в ночное время, когда пользователи точно не работают. Все файлы зашифрованы с расширением FSOCIETY. LicData_10РМ.txt.Id = [FF67A2A] Send To Email=[Elliot.Alderson@mailfence.com].FSOCIETY. Что с этим можно сделать? Какие способы решения? Имеется текстовый файл с запросом выкупа.

Запрос в антивирус.7z FRST.txt Addition.txt

[Sandor]

Здравствуйте!

 

Пока пытаемся определить тип вымогателя.

[Shumach]

11 часов назад, Sandor сказал:

Здравствуйте!

 

Пока пытаемся определить тип вымогателя.

Добрый вечер, если поможет то есть ответ от dr.web Файлы зашифрованы Trojan.Encoder.28501

 

11 часов назад, Sandor сказал:

Здравствуйте!

 

Пока пытаемся определить тип вымогателя.

Вам в любом случае заранее спасибо

[Shumach]

11 часов назад, Sandor сказал:

Здравствуйте!

 

Пока пытаемся определить тип вымогателя.

И еще вопрос задам. Если есть точная копия нескольких файлов до вируса, то они могут помочь в расшифровке?

[Sandor]

Шифровалось дважды.

 

Похоже на этот вымогатель.

Предположу, что пара файлов ничем не поможет.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

[Sandor]

Попробуйте найти тело вируса. Возможно в карантине антивируса или среди удалённых файлов.

[Shumach]

27.02.2021 в 09:10, Sandor сказал:

Шифровалось дважды.

 

Похоже на этот вымогатель.

Предположу, что пара файлов ничем не поможет.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Спасибо, воспользовался советом, отправил запрос, взяли в обработку.

6 часов назад, Sandor сказал:

Попробуйте найти тело вируса. Возможно в карантине антивируса или среди удалённых файлов.

Как его опознать? Закончилось тестирование программой восстановления файлов, там есть много удаленных незашифрованных файлов. Что будет отличать файл с телом?

[Sandor]

27.02.2021 в 08:10, Sandor сказал:

Похоже на этот вымогатель.

Ссылку смотрели? Там есть пример.

 

24 минуты назад, Shumach сказал:

отправил запрос, взяли в обработку

Ответ сообщите здесь, пожалуйста.

[Shumach]

10 часов назад, Sandor сказал:

Ссылку смотрели? Там есть пример.

 

Ответ сообщите здесь, пожалуйста.

Смотрел, но все равно не понимаю, что искать. Можете поточнее указать, под каким заголовком искать?

[Sandor]

Цитата

Файлы, связанные с этим Ransomware:
NewSource.exe
ReadMeToDecrypte.txt
<random>.exe - случайное название вредоносного файла

 

[Shumach]

7 часов назад, Sandor сказал:

 

есть файл Windows_explorer.exe. Удален за несколько минут до времени указанном в перекодированных файлах. Вроде бы похож на подозрительный?

[Sandor]

Проверьте его на https://www.virustotal.com/gui/home/upload

Ссылку на результат покажите.

Изменено 1 марта, 2021 пользователем Sandor

[Shumach]

14 минут назад, Sandor сказал:

Проверьте его на https://www.virustotal.com/gui/home/upload

Ссылку на результат покажите.

т.е. его восстановить и затем закинуть по ссылке?

[Sandor]

Да, только будьте осторожны, не запустите случайно.

Либо упакуйте его в архив с паролем и через файлообменник ссылку на скачивание отправьте мне в ЛС.

[Shumach]

2 минуты назад, Sandor сказал:

Да, только будьте осторожны, не запустите случайно.

Либо упакуйте его в архив с паролем и через файлообменник ссылку на скачивание отправьте мне в ЛС.

Собственно этого и боюсь))

 

В общем на данный момент в папке C:\Windows\Vss\Writers\Application лежит как раз приложение Windows_explorer.exe созданный в 0:53 и в удаленных числится файл Windows_explorer.exe тем же временем.

Может сначала забросить на проверку тот файл что лежит?