• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

Как расшифровать файлы после вируса-шифровальщика

A

alexej

Green Team
15.10.2018
55
18
BIT
0
Добрый день
Есть проблема: знакомый открыл ссылку по почте и на компьютере зашифровались данные. Потом ему прислали на почту требование о вознаграждении для расшифровки. На данный момент он обрубил инет и больше не включался. На компьютере рабочие файлы мс офисе и sql, которые надо восстановить.
Имеем win7 и рабочий графический интерфейс. Кто сталкивался, подскажите план действий.
Я пока вижу решение такое:
1. проверка на наличие угроз и уязвимостей с касперский фри тулз и их удаление
2. запустить по очереди утилиты от касперского для борьбы с программами-шифровальщиками(XoristDecryptor, RectorDecryptor).
Возможно, опытные товарищи подскажут правильный план действий.
Завтра диск будет на руках и начну попытки.
п.с. Если есть опытный спец с Мск, то можете предложить свои услуги за вознаграждение. Я буду только рад избавиться от лишней возни и не факт, что успешной.
 
Сортировать по дате Сортировать по голосам
algopolon сказал(а):
Добрый день
Есть проблема: знакомый открыл ссылку по почте и на компьютере зашифровались данные. Потом ему прислали на почту требование о вознаграждении для расшифровки. На данный момент он обрубил инет и больше не включался. На компьютере рабочие файлы мс офисе и sql, которые надо восстановить.
Имеем win7 и рабочий графический интерфейс. Кто сталкивался, подскажите план действий.
Я пока вижу решение такое:
1. проверка на наличие угроз и уязвимостей с касперский фри тулз и их удаление
2. запустить по очереди утилиты от касперского для борьбы с программами-шифровальщиками(XoristDecryptor, RectorDecryptor).
Возможно, опытные товарищи подскажут правильный план действий.
Завтра диск будет на руках и начну попытки.
п.с. Если есть опытный спец с Мск, то можете предложить свои услуги за вознаграждение. Я буду только рад избавиться от лишней возни и не факт, что успешной.
Нажмите, чтобы раскрыть...
Для начало надо понимать что за Вирус его модификации. Расширение файлов или сам файл прикрепить парочку.
2. запустить по очереди утилиты от касперского для борьбы с программами-шифровальщиками(XoristDecryptor, RectorDecryptor).
Нажмите, чтобы раскрыть...
не стоит пока этого делать, так как можно сделать хуже.
Сначало узнайте что это за Encoder
 
За 0 Против
Lunik сказал(а):
Для начало надо понимать что за Вирус его модификации. Расширение файлов или сам файл прикрепить парочку.
Нажмите, чтобы раскрыть...
Спс за совет. Вот для примера фото файлика.
download.png

Прочитал немного про этот вирус, но на касперском решения пока не нашел. Название DHARMA, если верить интернету.
 
За 0 Против
Надеюсь ты понимаешь, что не нагуглив как этот шифровальшик работает, ты можешь и свою систему заразить. В общем ты понял - "предохраняйся".
Плюс, как правильно тебе сказали выше, работай не на оригинале, а на по битной копии.
Ну и самое печальное, что если это не "нубо" криптограф то результат будет нулевой. Никакие Касперские не могут совладать с необратимым алгоритмами, математика есть математика.
 
За 0 Против
algopolon сказал(а):
Спс за совет. Вот для примера фото файлика.
Посмотреть вложение 39206

Прочитал немного про этот вирус, но на касперском решения пока не нашел. Название DHARMA, если верить интернету.
Нажмите, чтобы раскрыть...
Подскажу универсальный способ, есть такой
Ссылка скрыта от гостей
он имеет базу инкриптеров, DHARMA (он же Crusis ), вроде формат NcOv расшифровывается

algopolon сказал(а):
Спс за совет. Вот для примера фото файлика.
Посмотреть вложение 39206

Прочитал немного про этот вирус, но на касперском решения пока не нашел. Название DHARMA, если верить интернету.
Нажмите, чтобы раскрыть...
К DHARMA уже выложены ключи и сделаны утилиты
Ссылка скрыта от гостей
, если это не модифицированная версия, то шансы раскриптовать велики, а если это уникальный и переработанный, то увы нечего не поделать.
 
За 0 Против
DSec-56B12 сказал(а):
Подскажу универсальный способ, есть такой
Ссылка скрыта от гостей
он имеет базу инкриптеров, DHARMA (он же Crusis ), вроде формат NcOv расшифровывается
Нажмите, чтобы раскрыть...
Скинул туда файлики. Пока нет в базе.
Попробовал под дхарму и кризис утилитки - под первую не подходит расширение, а под кризис вроде как идентифицирует без ошибок, но помочь ничем не может.
 
За 0 Против
algopolon сказал(а):
Скинул туда файлики. Пока нет в базе.
Попробовал под дхарму и кризис утилитки - под первую не подходит расширение, а под кризис вроде как идентифицирует без ошибок, но помочь ничем не может.
Нажмите, чтобы раскрыть...
Тогда остается попытаться использовать Kaspersky RakhniDecryptor , отправить файл в Dr.Web Rescue Pack (они попытаються расшифровать и если им это удастся, то попросят купить лицензию на 2 года за 120$), ну и на крайняк воспользоваться Shadow Explorer, попытаться восстановить теневые копии. А так больше нечего не остается. Такие случае заставляют задумываться над банальной информационной гигиеной.
 
За 0 Против
Zer0must2b сказал(а):
Восстановление состояния системы в таких случаях помогает?
Нажмите, чтобы раскрыть...
Было бы из чего восстанавливать, в большинстве современных тройкриптов реализовано затирание теневые копии и файлов восстановления. А внешних бекапов думаю не делалось.
 
За 0 Против
DSec-56B12 сказал(а):
Тогда остается попытаться использовать Kaspersky RakhniDecryptor
Нажмите, чтобы раскрыть...
Его тоже использовал. Пишет, что формат файла не поддерживается.

DSec-56B12 сказал(а):
отправить файл в Dr.Web Rescue Pack
Нажмите, чтобы раскрыть...
DSec-56B12 сказал(а):
Shadow Explorer
Нажмите, чтобы раскрыть...
Благодарю за советы.
 
За 0 Против
algopolon сказал(а):
Добрый день
Есть проблема: знакомый открыл ссылку по почте и на компьютере зашифровались данные. Потом ему прислали на почту требование о вознаграждении для расшифровки. На данный момент он обрубил инет и больше не включался. На компьютере рабочие файлы мс офисе и sql, которые надо восстановить.
Имеем win7 и рабочий графический интерфейс. Кто сталкивался, подскажите план действий.
Я пока вижу решение такое:
1. проверка на наличие угроз и уязвимостей с касперский фри тулз и их удаление
2. запустить по очереди утилиты от касперского для борьбы с программами-шифровальщиками(XoristDecryptor, RectorDecryptor).
Возможно, опытные товарищи подскажут правильный план действий.
Завтра диск будет на руках и начну попытки.
п.с. Если есть опытный спец с Мск, то можете предложить свои услуги за вознаграждение. Я буду только рад избавиться от лишней возни и не факт, что успешной.
Нажмите, чтобы раскрыть...

Привет! получилось восстановить? имеется тоже проблемка
 
За 0 Против
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ