Перейти к содержанию

Нужна помощь в восстановлении файлов после шифровальщика


Рекомендуемые сообщения

На сервер проник вирус шифровальшик. Никакие файлы не запускались, поскольку произошло в ночное время, когда пользователи точно не работают. Все файлы зашифрованы с расширением FSOCIETY. LicData_10РМ.txt.Id = [FF67A2A] Send To Email=[Elliot.Alderson@mailfence.com].FSOCIETY. Что с этим можно сделать? Какие способы решения? Имеется текстовый файл с запросом выкупа.

Запрос в антивирус.7z FRST.txt Addition.txt

Ссылка на сообщение
Поделиться на другие сайты
11 часов назад, Sandor сказал:

Здравствуйте!

 

Пока пытаемся определить тип вымогателя.

Добрый вечер, если поможет то есть ответ от dr.web Файлы зашифрованы Trojan.Encoder.28501

 

11 часов назад, Sandor сказал:

Здравствуйте!

 

Пока пытаемся определить тип вымогателя.

Вам в любом случае заранее спасибо

Ссылка на сообщение
Поделиться на другие сайты
11 часов назад, Sandor сказал:

Здравствуйте!

 

Пока пытаемся определить тип вымогателя.

И еще вопрос задам. Если есть точная копия нескольких файлов до вируса, то они могут помочь в расшифровке?

Ссылка на сообщение
Поделиться на другие сайты

Шифровалось дважды.

 

Похоже на этот вымогатель.

Предположу, что пара файлов ничем не поможет.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Ссылка на сообщение
Поделиться на другие сайты

Попробуйте найти тело вируса. Возможно в карантине антивируса или среди удалённых файлов.

Ссылка на сообщение
Поделиться на другие сайты
27.02.2021 в 09:10, Sandor сказал:

Шифровалось дважды.

 

Похоже на этот вымогатель.

Предположу, что пара файлов ничем не поможет.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Спасибо, воспользовался советом, отправил запрос, взяли в обработку.

6 часов назад, Sandor сказал:

Попробуйте найти тело вируса. Возможно в карантине антивируса или среди удалённых файлов.

Как его опознать? Закончилось тестирование программой восстановления файлов, там есть много удаленных незашифрованных файлов. Что будет отличать файл с телом?

Ссылка на сообщение
Поделиться на другие сайты
27.02.2021 в 08:10, Sandor сказал:

Похоже на этот вымогатель.

Ссылку смотрели? Там есть пример.

 

24 минуты назад, Shumach сказал:

отправил запрос, взяли в обработку

Ответ сообщите здесь, пожалуйста.

Ссылка на сообщение
Поделиться на другие сайты
10 часов назад, Sandor сказал:

Ссылку смотрели? Там есть пример.

 

Ответ сообщите здесь, пожалуйста.

Смотрел, но все равно не понимаю, что искать. Можете поточнее указать, под каким заголовком искать?

Ссылка на сообщение
Поделиться на другие сайты
Цитата

Файлы, связанные с этим Ransomware:
NewSource.exe
ReadMeToDecrypte.txt
<random>.exe - случайное название вредоносного файла

 

Ссылка на сообщение
Поделиться на другие сайты
7 часов назад, Sandor сказал:

 

есть файл Windows_explorer.exe. Удален за несколько минут до времени указанном в перекодированных файлах. Вроде бы похож на подозрительный?

Ссылка на сообщение
Поделиться на другие сайты

Проверьте его на https://www.virustotal.com/gui/home/upload

Ссылку на результат покажите.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты
14 минут назад, Sandor сказал:

Проверьте его на https://www.virustotal.com/gui/home/upload

Ссылку на результат покажите.

т.е. его восстановить и затем закинуть по ссылке?

Ссылка на сообщение
Поделиться на другие сайты

Да, только будьте осторожны, не запустите случайно.

Либо упакуйте его в архив с паролем и через файлообменник ссылку на скачивание отправьте мне в ЛС.

Ссылка на сообщение
Поделиться на другие сайты
2 минуты назад, Sandor сказал:

Да, только будьте осторожны, не запустите случайно.

Либо упакуйте его в архив с паролем и через файлообменник ссылку на скачивание отправьте мне в ЛС.

Собственно этого и боюсь))

 

В общем на данный момент в папке C:\Windows\Vss\Writers\Application лежит как раз приложение Windows_explorer.exe созданный в 0:53 и в удаленных числится файл Windows_explorer.exe тем же временем.

Может сначала забросить на проверку тот файл что лежит?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • andrz
      От andrz
      Добрый день, коллеги! Первый раз прошу помощи на форуме, так что если что-то делаю не так - поправляйте.
      Суть проблемы:
      Поведенческий анализ (KES 11.8.0.384/KSC 14.0.0.10902) в режиме информирования и с включенной защитой папок общего доступа от внешнего шифрования дает ложное срабатывание при выполнении операций шифрования файлов с использованием КриптоАРМ 5 Стандарт (5.4.4.52)  в общей папке на файловом сервере:
      ----------
      Описание результата: Обнаружено
      Тип: Троянская программа
      Название: HEUR:Trojan.Multi.Crypren.gen
      Пользователь: XXX\YYY (Инициатор)
      Объект: System
      Причина: Поведенческий анализ
      Дата выпуска баз: 11.01.2024 5:41:00
      -----------
      Аналогичным образом KES реагирует на создание резервных копий этих файлов с использованием WinRAR 5.10
      Рекомендация Касперского - внести компьютер в список исключений поведенческого анализа (Список компьютеров, с которых не будут отслеживаться попытки шифрования папок общего доступа).
      Возможно существует другой вариант? Не хотелось бы пользоваться исключениями - а вдруг враг начнет шифровать именно с этого ПК? Прецеденты, к сожалению, были
    • Максим М
      От Максим М
      Добрый день.
      Во вложении отчёты от FRST64, два зашифрованных файла, письмо вымогателя, ключи и .hta фаил, из-за которого я поставил архив на известный вам пароль. 
      BlackHunt2.zip
    • yaregg
      От yaregg
      Добрый день. Поймал шифровальщика. ПК на ночь остаётся на экране логина в учётку, однако утром был выключен. При запуске были определённые проблемы в связи с побитыми .ini.
      Текстовики и картинки поменяли расширение на .HELL. Также к имени файла добавилось [ID-GZKK2_Mail-HellCity@Tuta.io
      Примеры файлов и лог FRST прилагаю.
      Arch.zip Addition.txt FRST.txt Shortcut.txt
    • intessence
      От intessence
      Здравствуйте, шансы есть?
      vir.zip
    • Максим М
      От Максим М
      Добрый день.
      Во вложении отчёты от FRST64, два зашифрованных файла и письмо вымогателя. 
      Буду рад любой помощи.
      Vypt.zip
×
×
  • Создать...