Перейти к содержанию

Нужна помощь в восстановлении файлов после шифровальщика


Рекомендуемые сообщения

На сервер проник вирус шифровальшик. Никакие файлы не запускались, поскольку произошло в ночное время, когда пользователи точно не работают. Все файлы зашифрованы с расширением FSOCIETY. LicData_10РМ.txt.Id = [FF67A2A] Send To Email=[Elliot.Alderson@mailfence.com].FSOCIETY. Что с этим можно сделать? Какие способы решения? Имеется текстовый файл с запросом выкупа.

Запрос в антивирус.7z FRST.txt Addition.txt

Ссылка на сообщение
Поделиться на другие сайты
11 часов назад, Sandor сказал:

Здравствуйте!

 

Пока пытаемся определить тип вымогателя.

Добрый вечер, если поможет то есть ответ от dr.web Файлы зашифрованы Trojan.Encoder.28501

 

11 часов назад, Sandor сказал:

Здравствуйте!

 

Пока пытаемся определить тип вымогателя.

Вам в любом случае заранее спасибо

Ссылка на сообщение
Поделиться на другие сайты
11 часов назад, Sandor сказал:

Здравствуйте!

 

Пока пытаемся определить тип вымогателя.

И еще вопрос задам. Если есть точная копия нескольких файлов до вируса, то они могут помочь в расшифровке?

Ссылка на сообщение
Поделиться на другие сайты

Шифровалось дважды.

 

Похоже на этот вымогатель.

Предположу, что пара файлов ничем не поможет.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Ссылка на сообщение
Поделиться на другие сайты
27.02.2021 в 09:10, Sandor сказал:

Шифровалось дважды.

 

Похоже на этот вымогатель.

Предположу, что пара файлов ничем не поможет.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Спасибо, воспользовался советом, отправил запрос, взяли в обработку.

6 часов назад, Sandor сказал:

Попробуйте найти тело вируса. Возможно в карантине антивируса или среди удалённых файлов.

Как его опознать? Закончилось тестирование программой восстановления файлов, там есть много удаленных незашифрованных файлов. Что будет отличать файл с телом?

Ссылка на сообщение
Поделиться на другие сайты
27.02.2021 в 08:10, Sandor сказал:

Похоже на этот вымогатель.

Ссылку смотрели? Там есть пример.

 

24 минуты назад, Shumach сказал:

отправил запрос, взяли в обработку

Ответ сообщите здесь, пожалуйста.

Ссылка на сообщение
Поделиться на другие сайты
10 часов назад, Sandor сказал:

Ссылку смотрели? Там есть пример.

 

Ответ сообщите здесь, пожалуйста.

Смотрел, но все равно не понимаю, что искать. Можете поточнее указать, под каким заголовком искать?

Ссылка на сообщение
Поделиться на другие сайты
Цитата

Файлы, связанные с этим Ransomware:
NewSource.exe
ReadMeToDecrypte.txt
<random>.exe - случайное название вредоносного файла

 

Ссылка на сообщение
Поделиться на другие сайты
7 часов назад, Sandor сказал:

 

есть файл Windows_explorer.exe. Удален за несколько минут до времени указанном в перекодированных файлах. Вроде бы похож на подозрительный?

Ссылка на сообщение
Поделиться на другие сайты

Проверьте его на https://www.virustotal.com/gui/home/upload

Ссылку на результат покажите.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты
14 минут назад, Sandor сказал:

Проверьте его на https://www.virustotal.com/gui/home/upload

Ссылку на результат покажите.

т.е. его восстановить и затем закинуть по ссылке?

Ссылка на сообщение
Поделиться на другие сайты

Да, только будьте осторожны, не запустите случайно.

Либо упакуйте его в архив с паролем и через файлообменник ссылку на скачивание отправьте мне в ЛС.

Ссылка на сообщение
Поделиться на другие сайты
2 минуты назад, Sandor сказал:

Да, только будьте осторожны, не запустите случайно.

Либо упакуйте его в архив с паролем и через файлообменник ссылку на скачивание отправьте мне в ЛС.

Собственно этого и боюсь))

 

В общем на данный момент в папке C:\Windows\Vss\Writers\Application лежит как раз приложение Windows_explorer.exe созданный в 0:53 и в удаленных числится файл Windows_explorer.exe тем же временем.

Может сначала забросить на проверку тот файл что лежит?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • HorrorRain
      От HorrorRain
      Прилетел шифровальщик и зашифровал  важный файлы. Скорей всего из-за не сложного пароля администратора., есть ли шанс их восстановить
      Addition.txt Files.zip FRST.txt
    • Noolun
      От Noolun
      Доброго времени суток! Прошу помощи в расшифровке файлов. Система запускается. Все файлы с расширением: [zazaza1@tuta.io].HELPME. Записка с вымоганием, отсутствует. 
      CollectionLog-2021.11.13-16.27.zip Зашифрованные файлы.7z
    • y_mach
      От y_mach
      Добрый день.
      Прошелся шифровальщик. К зашифрованным файлам приложены оригиналы. 
      Какие варианты?
      Addition.txt FRST.txt шифр.zip
    • Opeckun
      От Opeckun
      Здравствуйте.
       
      Утром включил компьютер и обнаружил, что почти все файлы зашифрованы.
      На компьютере установлен Kaspersky Endpoint Security.
       
      Помогите расшифровать.
      CollectionLog-2021.09.22-09.17.zip [speerunto@gmail.com][ID=B8C86B41]Спецодежда.xlsx.zip #FILESENCRYPTED.txt
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
    • Радибор
      От Радибор
      Здравствуйте! зашифровал все файлы , убил доступ к профилям пользователей. Доступа к системе нет.  Может есть лечение файлов
      Венгер.xlsx[honestandhope@qq.com].rar худ мат .xlsx[honestandhope@qq.com].rar
×
×
  • Создать...