• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

  • Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Как расшифровать файлы после вируса-шифровальщика

alexej

Green Team
15.10.2018
55
18
BIT
0
Добрый день
Есть проблема: знакомый открыл ссылку по почте и на компьютере зашифровались данные. Потом ему прислали на почту требование о вознаграждении для расшифровки. На данный момент он обрубил инет и больше не включался. На компьютере рабочие файлы мс офисе и sql, которые надо восстановить.
Имеем win7 и рабочий графический интерфейс. Кто сталкивался, подскажите план действий.
Я пока вижу решение такое:
1. проверка на наличие угроз и уязвимостей с касперский фри тулз и их удаление
2. запустить по очереди утилиты от касперского для борьбы с программами-шифровальщиками(XoristDecryptor, RectorDecryptor).
Возможно, опытные товарищи подскажут правильный план действий.
Завтра диск будет на руках и начну попытки.
п.с. Если есть опытный спец с Мск, то можете предложить свои услуги за вознаграждение. Я буду только рад избавиться от лишней возни и не факт, что успешной.
 

Lunik

Green Team
14.08.2018
60
39
BIT
147
Добрый день
Есть проблема: знакомый открыл ссылку по почте и на компьютере зашифровались данные. Потом ему прислали на почту требование о вознаграждении для расшифровки. На данный момент он обрубил инет и больше не включался. На компьютере рабочие файлы мс офисе и sql, которые надо восстановить.
Имеем win7 и рабочий графический интерфейс. Кто сталкивался, подскажите план действий.
Я пока вижу решение такое:
1. проверка на наличие угроз и уязвимостей с касперский фри тулз и их удаление
2. запустить по очереди утилиты от касперского для борьбы с программами-шифровальщиками(XoristDecryptor, RectorDecryptor).
Возможно, опытные товарищи подскажут правильный план действий.
Завтра диск будет на руках и начну попытки.
п.с. Если есть опытный спец с Мск, то можете предложить свои услуги за вознаграждение. Я буду только рад избавиться от лишней возни и не факт, что успешной.
Для начало надо понимать что за Вирус его модификации. Расширение файлов или сам файл прикрепить парочку.
2. запустить по очереди утилиты от касперского для борьбы с программами-шифровальщиками(XoristDecryptor, RectorDecryptor).
не стоит пока этого делать, так как можно сделать хуже.
Сначало узнайте что это за Encoder
 

alexej

Green Team
15.10.2018
55
18
BIT
0
Для начало надо понимать что за Вирус его модификации. Расширение файлов или сам файл прикрепить парочку.
Спс за совет. Вот для примера фото файлика.
download.png

Прочитал немного про этот вирус, но на касперском решения пока не нашел. Название DHARMA, если верить интернету.
 

noted

Green Team
08.12.2019
107
14
BIT
0
Надеюсь ты понимаешь, что не нагуглив как этот шифровальшик работает, ты можешь и свою систему заразить. В общем ты понял - "предохраняйся".
Плюс, как правильно тебе сказали выше, работай не на оригинале, а на по битной копии.
Ну и самое печальное, что если это не "нубо" криптограф то результат будет нулевой. Никакие Касперские не могут совладать с необратимым алгоритмами, математика есть математика.
 

DSec-56B12

Well-known member
02.03.2020
71
261
BIT
1
Спс за совет. Вот для примера фото файлика.
Посмотреть вложение 39206

Прочитал немного про этот вирус, но на касперском решения пока не нашел. Название DHARMA, если верить интернету.
Подскажу универсальный способ, есть такой он имеет базу инкриптеров, DHARMA (он же Crusis ), вроде формат NcOv расшифровывается

Спс за совет. Вот для примера фото файлика.
Посмотреть вложение 39206

Прочитал немного про этот вирус, но на касперском решения пока не нашел. Название DHARMA, если верить интернету.
К DHARMA уже выложены ключи и сделаны утилиты , если это не модифицированная версия, то шансы раскриптовать велики, а если это уникальный и переработанный, то увы нечего не поделать.
 

alexej

Green Team
15.10.2018
55
18
BIT
0
Подскажу универсальный способ, есть такой он имеет базу инкриптеров, DHARMA (он же Crusis ), вроде формат NcOv расшифровывается
Скинул туда файлики. Пока нет в базе.
Попробовал под дхарму и кризис утилитки - под первую не подходит расширение, а под кризис вроде как идентифицирует без ошибок, но помочь ничем не может.
 

DSec-56B12

Well-known member
02.03.2020
71
261
BIT
1
Скинул туда файлики. Пока нет в базе.
Попробовал под дхарму и кризис утилитки - под первую не подходит расширение, а под кризис вроде как идентифицирует без ошибок, но помочь ничем не может.
Тогда остается попытаться использовать Kaspersky RakhniDecryptor , отправить файл в Dr.Web Rescue Pack (они попытаються расшифровать и если им это удастся, то попросят купить лицензию на 2 года за 120$), ну и на крайняк воспользоваться Shadow Explorer, попытаться восстановить теневые копии. А так больше нечего не остается. Такие случае заставляют задумываться над банальной информационной гигиеной.
 

DSec-56B12

Well-known member
02.03.2020
71
261
BIT
1
Восстановление состояния системы в таких случаях помогает?
Было бы из чего восстанавливать, в большинстве современных тройкриптов реализовано затирание теневые копии и файлов восстановления. А внешних бекапов думаю не делалось.
 

alexej

Green Team
15.10.2018
55
18
BIT
0
Тогда остается попытаться использовать Kaspersky RakhniDecryptor
Его тоже использовал. Пишет, что формат файла не поддерживается.

отправить файл в Dr.Web Rescue Pack
Благодарю за советы.
 

marsmaks224

New member
12.09.2020
1
0
BIT
0
Добрый день
Есть проблема: знакомый открыл ссылку по почте и на компьютере зашифровались данные. Потом ему прислали на почту требование о вознаграждении для расшифровки. На данный момент он обрубил инет и больше не включался. На компьютере рабочие файлы мс офисе и sql, которые надо восстановить.
Имеем win7 и рабочий графический интерфейс. Кто сталкивался, подскажите план действий.
Я пока вижу решение такое:
1. проверка на наличие угроз и уязвимостей с касперский фри тулз и их удаление
2. запустить по очереди утилиты от касперского для борьбы с программами-шифровальщиками(XoristDecryptor, RectorDecryptor).
Возможно, опытные товарищи подскажут правильный план действий.
Завтра диск будет на руках и начну попытки.
п.с. Если есть опытный спец с Мск, то можете предложить свои услуги за вознаграждение. Я буду только рад избавиться от лишней возни и не факт, что успешной.

Привет! получилось восстановить? имеется тоже проблемка
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!