Страницы: 1
RSS
Зашифрованы файлы с расширением .some@mail.ru.ID*, возможно, RSAUtil
 
Добрый день! На двух компьютерах был пойман шифратор (запустился ночью без участия пользователей на обеих машинах примерно в одно и то же время), зашифровал все файлы  расширением .some@mail.ru.ID16035194, были изменены все папки, кроме системных, вплоть до ярлыков на рабочем столе. ID везде одинаковый, списался с вымогателем и скинул ему по файлу с каждого компьютера, он прислал их расшифрованными. На одном компьютере через Kaspersky Removal Tool обнаружил Trojan-Ransom.Win32.Agent.iyp, на втором ничего. Nod32 4.2.76.1 молчал, в журнале угроз ничего. Есть возможность как-то расшифровать файлы, или единственный способ сейчас — на свой страх и риск заплатить? Во вложении — пример зашифрованного файла.
Изменено: Роман Небелюк - 20.06.2017 13:24:49
 
Роман,
такая заставка на рабочем столе?


если есть записка о выкупе, добавьте так же файл записки о выкупе. лучше добавить в архив и поместить на форум.
 
В каждой директории находится файл How_return_files.txt со следующим содержанием:

Your documents, photos, databases, save games and other important data was encrypted.
Data recovery the necessary interpreter.
To get the interpreter, should send an email to bm-2cv8unfeqfpyrfcxcmaehb5977kt8nazpn@bitmessage.ch  
In a letter to include Your personal ID (see the beginning of this document).

Attention!
* Do not attempt to remove a program or run the anti-virus tools
* Attempts to decrypt the files will lead to loss of Your data
* Decoders other users is incompatible with Your data, as each user
unique encryption key

При связи с вымогателем было достаточно прислать пару зашифрованных файлов, чтобы он скинул уже расшифрованные — в доказательство того, что он может их вернуть к первоначальному виду. Я скинул по файлу с разных машин с одинаковым ID, и расшифровали оба.

Заставки не было, судя по всему вирус сработал по-тихому, пришедший с утра пользователь лишь показал, что не может открыть документы.  
Изменено: Роман - 15.05.2017 19:16:29
 
Роман,
добавьте во вложение сам файл How_return_files.txt
 
Сам файл, подобные лежат в каждой директории (даже во вкладке IE11 и сетевом окружении).
 
Роман,
судя по записке о выкупе и по зашифрованному файлу

Цитата
Identified by

   ransomnote_filename: How_return_files.txt
   sample_extension: .<email>.ID<id>

Click here for more information about RSAUtil
ваши файлы зашифрованы этим шифратором. RSAUtil
https://www.bleepingcomputer.com/forums/t/646245/rsautil-ransomware-help-topic-how-return-filestxt-helppmeindiacom/

расшифровки по данному шифратору нет.

пробуйте восстановить документы из архивных копий, точек восстановления, поиском среди удаленных файлов.
Страницы: 1
Читают тему (гостей: 1)