Перейти к содержанию

Рекомендуемые сообщения

Словили шифровальщика

Зашифрованные файлы - переименованы (исходное имя и расширение файла не сохраняются) 

Все зашифрованные файлы имеют расширение .encrypted

После инцидента система была установлена с нуля (Farbar Recovery Scan Tool запускался уже после переустановки системы)

 

Шифрование было произведено ночью, файл с телом шифровальщика найден не был.

Базы данных, которые на момент шифрования были монопольно заняты своими службами - не подверглись шифрованию.

Файлы с расширениями exe, dll, lib, bat и некоторыми специфическими расширениями - остались не тронутыми.

 

Поиск каких то существующих решений все время приводит к предложению использовать "Emsisoft Decryptor for Globe2", но воспользоваться данной утилитой не получается, т.к. у зашифрованных файлов меняется размер (небольшие файлы, до 1Кб, сохраняют свой размер после шифрования, файлы бОльшего размера - увеличиваются в размере на 7-8%)

 


 

encrypted.rar FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, Sibgaba сказал:

т.к. у зашифрованных файлов меняется размер

Это говорит о том, что Вы возможно подбираете неверные пары для подбора ключа.

Ссылка на сообщение
Поделиться на другие сайты
22 часа назад, thyrex сказал:

Это говорит о том, что Вы возможно подбираете неверные пары для подбора ключа.

Вы были правы!

Подбирая папки для сравнения брал архивы (эти же файлы были выложены в свое время на ФТП откуда я и брал оригиналы)
И внезапно оказалось что с моменты выкладывания на ФТП их там пережали другим архиватором (отсюда и другой размер)

Поискал другую пару файлов (нашел в исходящих письма с аттачами) и все полетело. Файлы успешно восстанавливаются через Emsisoft Decryptor for Globe2! (https://www.emsisoft.com/ransomware-decryption-tools/globe2)

Спасибо вам за ценную мысль 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • PavelRevenko
      От PavelRevenko
      Просьба помочь в расшифровке.
      Пользовательские файлы, документы\фото, текстовые файлы, БД 1С были переименованы, названия хаотичные, расширение .encrypted
      в каждой из папок файл с данными о выкупе .hta
      Исполняемого файла не обнаружил, по логам отрабатывал ночью. После система восстанавливалась тк сервер рабочий.
      Архив с  файлами зашифрованными (и оригинальные), а также файл с письмом о выкупе прилагаю. Отчет FRST64 в том же архиве 
      kaspersky.rar
    • aryauzov
      От aryauzov
      Просьба помочь в расшифровке.
      Пользовательские файлы, документы\фото, текстовые файлы, БД 1С были переименованы, названия хаотичные, расширение .encrypted
      в каждой из папок файл с данными о выкупе .hta
      Исполняемого файла не обнаружил, по логам отрабатывал ночью.
      Архив с 2 файлами зашифрованными, а также файлс письмом о выкупе прилагаю. Кроме того кладу 1 пару файлов до\после.
      Kaspersky.7z
    • klik_73
      От klik_73
      Здравствуйте! выручаете, дал удаленку на свою голову
      зашированы все файлы, для примера скинул зашифрованне файлы 2шт. и тескт с вымогательством
      сам вирус найти не смог( логи снял
      arhive.rar
×
×
  • Создать...