зашифровано с расширением .damage - Форум технической поддержки ESET NOD32

Сообщений: 6

Баллов: 3

Регистрация: 08.02.2017

Размещено 01.03.2017 14:34:36

В праздники произошел инцидент, все файлы на ПК были зашифрованы, источник вируса не найден, на ПК стоял ESET Smart Security источник от куда и как попал ПК не найден.

Формат файлов .damage

Поиск по просторам интернета ничего особо не дал, наткнулся только на эту страницу где о нем максимально подробно описано:http://id-ransomware.blogspot.ru/2017/02/damage-ransomware.htmlhttp://id-ransomware.blogspot.ru/2017/02/damage-ransomware.htmlhttp://id-ransomware.blogspot.ru/2017/02/damage-ransomware.html

Прилагаю пример зашифрованных файлов + запарочный архив(якобы с дешифратором) который был получен в ответ на отправленное на почту злоумышленникам.
Надеюсь на любую помощь и буду очень благодарен.

Прикрепленные файлы

damage.rar (698.81 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 01.03.2017 15:23:53

Руслан,
добавьте образ автозапуска системы, где произошло шифрование.

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 08.02.2017

Размещено 02.03.2017 11:51:59

Пожалуйста.

Прикрепленные файлы

2017-03-02_13-41-02.7z (606.67 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 02.03.2017 12:11:50

судя по образу система уже очищена от файлов шифратора.

по расшифровке файлов обратитесь в [email protected] при наличие лицензии на антивирус ESET

для обращения подготовьте так же:
несколько зашифрованных файлов,
желательно чистые оригиналы зашифрованных файлов,
желательно источник шифрования,
+
лог ELC (Eset log collector), созданный в системе, где произошло шифрование.
https://download.eset.com/special/logcollector/ESETLogCollector_rus.exe

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 08.02.2017

Размещено 12.03.2017 18:47:44

Хорошая новость! Появился дешифратор!

Хотел сказать огромное спасибо Fabian Wosar, Michael Gillespie и всем остальным кто принимал участие!

Сам дешифратор и инструкцию можно скачать здесь: https://decrypter.emsisoft.com/damage

Изменено: Руслан Сметанин - 12.03.2017 19:09:21

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 13.03.2017 04:41:23

Руслан, если есть такая возможность, добавьте пару чистый-зашифрованный файлы для проверки дешифратора.

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 08.02.2017

Размещено 13.03.2017 13:20:01

Пожалуйста. У меня ключ подобрал примерно через 4 часа. И кстати этот ключ подошел как пароль к архиву в котором лежит дешифратор, присланный мне. Этот архив есть в первом сообщение RepairTool+for+TSERVER+server.rar Пароль отправил в ЛС.

Прикрепленные файлы

temo.rar (41.11 КБ)

Изменено: Руслан Сметанин - 13.03.2017 13:24:12

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 13.03.2017 13:30:16

Цитата
У меня ключ подобрал примерно через 4 часа.

хороший значит комп

,
проверю.

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 08.02.2017

Размещено 13.03.2017 13:31:53

Если вдруг интересно будет https://www.twitch.tv/fwosar - здесь можно посмотреть запись. Fabian Wosar создавал дешифратор в режиме реального времени.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 15.03.2017 04:27:55

да, дешифратор рабочий, ключ в итоге по паре чистый - зашифрованный был вычислен, и все файлы были корректно расшифрованы.

Цитата
Encrypted file: E:\deshifr\encode_files\damage\10\encode_files\бесхозяйные вещи исковое заявление.doc.damage Destination file: E:\deshifr\encode_files\damage\10\encode_files\бесхозяйные вещи исковое заявление.doc Status: Successfully decrypted! Finished!

F.Wosar один самых продуктивных специалистов по работе с шифраторами.
nemucod, xorist, radamant, globe и многое другое.

[ Как создать образ автозапуска? ]