зашифровано в CryptON/Nemesis/X3M , возможно Cry9/Cry36/Cry128

Приветствую, файлы защифровались с расширением .onion._
Что по поводу этих файлов? Есть ли возможность расшифровки?
Вирус удалён, автозапуск и система очищены, интересует лишь перспектива восстановления.
Стоит лиц. Eset Nod Antivirus. Кстати какой антивирус в вашей линейке более устойчив к такого рода заражению?
Может следует перейти на Smart Security?
Зарание спасибо.

santy,
архив с бывшими файлами .doc .jpg .pdf
1.rar (4.31 МБ)  
Изменено: Рубен Молунц - 10.06.2017 14:08:23
@Рубен Молунц,
добавьте в ваше сообщение несколько зашифрованных файлов в архиве.
+
если сохранился файл шифратора из системы, или из вредоносного сообщения,
вышлите в почтц safety@chklst.ru в архиве с паролем infected
Цитата
santy написал:
если сохранился файл шифратора из системы, или из вредоносного сообщения
К сожалению уже всё очищенно, но могу приложить так же оригинальные файлы тех что зашифрованны, из "предыдущих версий", если это как то может помочь.
2.rar (4.29 МБ)  
@Рубен Молунц,
в вашем случае, возможно зашифровано в Cry9
Цитата
Identified by

   sample_bytes: [0x408933 - 0x408976] 0x000000000000000000000000000000000000000000000000000000000005919CAAB

Click here for more information about Cry9
http://blog.emsisoft.com/2017/04/04/remove-cry9-ransomware-with-emsisofts-free-decrypter/

если вы лицензионный пользователь ESET, напишите в почту support@esetnod32.ru
возможно, этот дешифратор подойдет, проверьте
https://decrypter.emsisoft.com/cry128


Цитата
[May, 2, 2017] - Version: 1.0.0.54
Emsisoft Decrypter for Cry128

Cry128 belongs to the CryptON/Nemesis ransomware family that is mostly used for targetted attacks via RDP. Files are encrypted using a customized version of AES and RSA. We have seen the following extensions being used by Cry128: ".fgb45ft3pqamyji7.onion.to._", ".id_<id>_gebdp3k7bolalnd4.onion._", ".id_<id>_2irbar3mjvbap6gt.onion.to._" and ".id-<id>_[qg6m5wo7h3id55ym.onion.to].63vc4".

To use the decrypter, you will require an encrypted file of at least 128 KB in size as well as its unencrypted version. To start the decrypter select both the encrypted and unencrypted file and drag and drop them onto the decrypter executable.

если дешифратор cry128 не подойдет вам, возможно стоит подождать новое решение от Emsisoft для файлов, у которых размер зашифрованного файла на 36 байт больше его оригинала. (похоже, что это ваш случай).


Цитата
Walvekar

Hi Sarah & Fabian. The encrypted files gebdp3k7bolalnd4.onion are 36 Bytes larger then the original ones. Is there anything which we are missing?

   Fabian Wosar

   I will look into that variant today most likely.
       Walvekar

       Thanks Fabian for all your help.

http://blog.emsisoft.com/2017/05/01/remove-cry128-ransomware-with-emsisofts-free-decrypter/
Цитата
santy написал:
возможно, этот дешифратор подойдет, проверьте
К сожалению нет, дешифратор не помог.

 
добрый день. тоже стокнулся с шифровальщиком . шифрует с разрешением onion . подскажите существует ли на данный момент какой то метод или программа для расшифрвки данного типа файлов ?
@jay jay,
добавьте несколько зашифрованных файлов в архив и загрузите архив в ваше соообщение,
+
добавьте образ автозапуска системы. можно его сделать из безопасного режима системы.
santy,я сейчас с линус live CD  пишу. часть файлов у меня не зашифрована ( я вовремя выключил ПК ) боюсь если загружусь остальные файлы тоже погибнут. можна каким то другим образом провести диагностики либо могу выслать пример зашифрованого файла ?

upd. прикрепляю архив с папкой содержащий несколько зашифрованых файлов и тхт файл от вируса-вымогателя
Изменено: jay jay - 14.05.2017 15:40:51
jay jay,
а можете выложить несколько пар файлов: чистый - зашифрованный?
для проверки расшифровки, желательно офисные документы или рисунки размером свыше 200-300кб

возможно, это Cry9
Цитата
Identified by

   ransomnote_url: хттп://fgb45ft3pqamyji7.onion
Читают тему (гостей: 2)