globe2 zitenmax@rambler.ru How to restore files.hta

[Sibgaba]

Словили шифровальщика

Зашифрованные файлы - переименованы (исходное имя и расширение файла не сохраняются) 

Все зашифрованные файлы имеют расширение .encrypted

После инцидента система была установлена с нуля (Farbar Recovery Scan Tool запускался уже после переустановки системы)

 

Шифрование было произведено ночью, файл с телом шифровальщика найден не был.

Базы данных, которые на момент шифрования были монопольно заняты своими службами - не подверглись шифрованию.

Файлы с расширениями exe, dll, lib, bat и некоторыми специфическими расширениями - остались не тронутыми.

 

Поиск каких то существующих решений все время приводит к предложению использовать "Emsisoft Decryptor for Globe2", но воспользоваться данной утилитой не получается, т.к. у зашифрованных файлов меняется размер (небольшие файлы, до 1Кб, сохраняют свой размер после шифрования, файлы бОльшего размера - увеличиваются в размере на 7-8%)

 

 

encrypted.rar FRST.txt

[thyrex]

2 часа назад, Sibgaba сказал:

т.к. у зашифрованных файлов меняется размер

Это говорит о том, что Вы возможно подбираете неверные пары для подбора ключа.

[Sibgaba]

22 часа назад, thyrex сказал:

Это говорит о том, что Вы возможно подбираете неверные пары для подбора ключа.

Вы были правы!

Подбирая папки для сравнения брал архивы (эти же файлы были выложены в свое время на ФТП откуда я и брал оригиналы)
И внезапно оказалось что с моменты выкладывания на ФТП их там пережали другим архиватором (отсюда и другой размер)

Поискал другую пару файлов (нашел в исходящих письма с аттачами) и все полетело. Файлы успешно восстанавливаются через Emsisoft Decryptor for Globe2! (https://www.emsisoft.com/ransomware-decryption-tools/globe2)

Спасибо вам за ценную мысль