Закрыто Расшифровка файлов

Статус
В этой теме нельзя размещать новые ответы.

JohnCh

Новый пользователь
Сообщения
8
Симпатии
0
Баллы
1
#1
Файловый сервер.
После обнаружения сообщений о шифрование был остановлен.
Был подключен как диск к чистой Windows 7.

Заражение - предполагаем через RDP.

ID Ransomware утчерждает (по файлу с оплатой) что это Xorist, но расширения файлов небыли изменены.
Шифрованние начинаемся с пропуском 304 байтов (на примере PDF).

DECRYPT_XORIST.EXE от Emsisosft's не смог найти ключ.

В архиве шифрованный и оригинальный файл. Файл с длинным названием - некоторые файлы (малая доля) имеют такие название, у остальных файлов название не менялось.

Логи были сформированы на новой машине.
Во время скандирование заметил, что были найдены несколько троянов в Word файлах. Однако файлы старые и на компьютере нету Office, думаю они тут не причем.

Заранее, спасибо.
 

Вложения

Последнее редактирование:

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,371
Симпатии
2,443
Баллы
593
#2
Шифрованние начинаемся с пропуском 304 байтов (на примере PDF).
Неверно, всего 48 байт пропускается. Ибо Xorist больше 127 байт не пропускает. Проблема кроется в том, что файлы могут быть зашифрованы многократно, причем не удивлюсь, если большинство из них даже нового расширения не получило. Причина: безграничная тупость распространителей этого варианта при выборе приписываемого расширения длиной 253 символа, кажется. Не каждая система способна такое переварить правильно, даже с NTFS разделами диска. Файлы придется переименовывать вручную. Парадоксально, что даже Xorist Decryptor не может у меня правильно расшифровать Ваши файлы при правильном ключе :( Но моя программка справляется.

Логи с чистой системы бесполезны. Когда закончите отбор и переименование файлов, добавляя к имени
....FILES_ARE_SAFE_THE_SIGNLE_AND_UNIQ_WAY_TO_RECOVER_YOUR_FILES_IS_TO_BUY_THE_CERBER_DECRYPTOR_PROGRAM_YOU_NEED_TO_MAKE_THE_PAYMENT_IN_MAXIM_24_HOUR_OR_ALL_YOUR_FILES_WILL_BE_LOST_FORVER_PLEASE_BE_REZONABLE_AND_MAKE_THE_PAYMENT_URGENTLY
дайте знать
 

Вложения

Последнее редактирование:

JohnCh

Новый пользователь
Сообщения
8
Симпатии
0
Баллы
1
#3
Неверно, всего 48 байт пропускается. Ибо Xorist больше 127 байт не пропускает. Проблема кроется в том, что файлы могут быть зашифрованы многократно, причем не удивлюсь, если большинство из них даже нового расширения не получило.

Скачайте Farbar Recovery Scan Tool
proxy.php?image=https%3A%2F%2Fi.imgur.com%2FNAAC5Ba.png&hash=ff82f1f5859613376226ffdd0623fc8f
и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
proxy.php?image=https%3A%2F%2Fi.imgur.com%2F3munStB.png&hash=b8be867eff6b8e3fa608be6fbbd2ab40

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
Сообщения объединены:

Подскажите как FRST указать какой диск сканировать. Поскольку все запускается с новой машины, то FRST пробегает по новому Windows а старый винчестр не трогает. Подозреваю что толку от этого мало.
 
Последнее редактирование:

JohnCh

Новый пользователь
Сообщения
8
Симпатии
0
Баллы
1
#5
Неверно, всего 48 байт пропускается. Ибо Xorist больше 127 байт не пропускает. Проблема кроется в том, что файлы могут быть зашифрованы многократно, причем не удивлюсь, если большинство из них даже нового расширения не получило. Причина: безграничная тупость распространителей этого варианта при выборе приписываемого расширения длиной 253 символа, кажется. Не каждая система способна такое переварить правильно, даже с NTFS разделами диска. Файлы придется переименовывать вручную. Парадоксально, что даже Xorist Decryptor не может у меня правильно расшифровать Ваши файлы при правильном ключе :( Но моя программка справляется.

Логи с чистой системы бесполезны. Когда закончите отбор и переименование файлов, добавляя к имени
дайте знать
Файлов уйма.
Добавление к файлу длинного наименованиея я сделаю.
А что дальше делать ?
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,371
Симпатии
2,443
Баллы
593
#6
Я же написал
Но моя программка справляется.
Вот после переименования ее и получите. Только возможно и при ее использовании придется урезать имена файлов. Например, для файла
Границы съемки ст.Лашшинская ул.Привокзальная.pdf....FILES_ARE_SAFE_THE_SIGNLE_AND_UNIQ_WAY_TO_RECOVER_YOUR_FILES_IS_TO_BUY_THE_CERBER_DECRYPTOR_PROGRAM_YOU_NEED_TO_MAKE_THE_PAYMENT_IN_MAXIM_24_HOUR_OR_ALL_YOUR_FILES_WILL_BE_LOST_FORVER_PLEASE_BE_REZONABLE_AND_MAKE_THE_PAYMENT_URGENTLY
мне пришлось оставить
Границы.pdf....FILES_ARE_SAFE_THE_SIGNLE_AND_UNIQ_WAY_TO_RECOVER_YOUR_FILES_IS_TO_BUY_THE_CERBER_DECRYPTOR_PROGRAM_YOU_NEED_TO_MAKE_THE_PAYMENT_IN_MAXIM_24_HOUR_OR_ALL_YOUR_FILES_WILL_BE_LOST_FORVER_PLEASE_BE_REZONABLE_AND_MAKE_THE_PAYMENT_URGENTLY
 

JohnCh

Новый пользователь
Сообщения
8
Симпатии
0
Баллы
1
#7
Я же написалВот после переименования ее и получите. Только возможно и при ее использовании придется урезать имена файлов. Например, для файла мне пришлось оставить
Я прекрасно понимаю что не в моем положение надо умничать, но дело в том что файлов действительно большое количество, руками это не переименовать тем более Вы были правы длина пути до файлов довольно большая возможно это и вызвало невозможность переименования файлов.

Полагаю придется писать сценарий для копирования файла во временный каталог (с коротким путем), последующим переименованием (добавления длинного названия), потом дешифрация, последующего обрезания названия и обратный перенос на исходной место.

Я даже не знаю как выполнить Ваше условие по первоночальной переименовки файлов.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,371
Симпатии
2,443
Баллы
593
#8
Попробуйте с помощью Total Commаnder групповое переименование. Начните с файлов с короткими именами. Еще одно важное условие - первый символ имени нельзя вообще изменять, он участвует в генерации ключа для каждого отдельно взятого файла. Когда закончите с короткими именами, сообщите.
 

JohnCh

Новый пользователь
Сообщения
8
Симпатии
0
Баллы
1
#9
А можно переименовать файлы по следующему шаблону:
[начальный символ имени исходного файла] [7-значный номер фала] [….FILES_ARE_SAFE…bla-bla-bla]
И покидать файлики в одну папку ?
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,371
Симпатии
2,443
Баллы
593
#10
Можно, главное не трогать первый символ
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,371
Симпатии
2,443
Баллы
593
#12
Проверьте ЛС и сообщите промежуточный результат. Появятся проблемы, тоже пишите.
 

JohnCh

Новый пользователь
Сообщения
8
Симпатии
0
Баллы
1
#13
Запускаю приложение, копирую в область "Paste key in window below" ключ, нажимаю "Check key", появляется надпись "All opportunities activate". Нажимаю кнопку "FILES LIST" в диалоговом окне и не вижу файлов, в поле "Имя файла" указываю звездочки, показываются все файлы? выбираю файл для восстановления.
В области для логов выводится:
Initialize key - OK
2 records loaded
==================
Recovery is complete

Файл не открывается приложением.

Файл называется в соответсвие с тем что я писал [Первый символ названия файла][номер][длинная преприска].
Может я что то не так делаю ?
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,371
Симпатии
2,443
Баллы
593
#14
Я же написал, что нажимать нужно либо File, либо Folder. Эти точно работают корректно
Сообщения объединены:

C:\Recovery - длинное имя папки. Переименуйте в 1, например
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
15,623
Симпатии
12,668
Баллы
2,203
#18
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу