Страницы: 1 2 След.
RSS
вероятно, NotPetya шифранул файлы
 
Добрый день всем!
Есть подозрение что все файлы на одном из логических дисков компьютера оказались зашифрованы, при этом, что странно, на этой машине нету письма с требованием о выкупе.

Помогите пожалуйста определить тип шифровальщика для того чтобы понимать возможна ли дешифрация!

Примеры файлов прилагаю, если нужно - готов выложить еще примеры.
Спасибо всем большое за помощь.
 
пробуйте через этот сервис определить тип шифратора.
https://id-ransomware.malwarehunterteam.com/index.php
 
Цитата
santy написал:
пробуйте через этот сервис определить тип шифратора.
https://id-ransomware.malwarehunterteam.com/index.php
Cпасибо но для этого сайта нужен файл с требованием о выкупе а я не вижу подобного файла на исследуемой системе.
Прилагаю также отчет сделанный с помощью набора утилит Autologger с данной системы:  
 
Евгений Беспалый,
если нужна проверки системы с очисткой, тогда добавьте образ автозапуска системы
инструкция как это сделать по ссылке в моей подписи.
-------
update:
судя по вашим логам возможно что и Petya шифранул файлы, а доступ к загрузочной записи не получил.

Цитата
C:\ProgramData\Medoc\Medoc_2SRV\DMF.AppServer.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 8348 DMF.AppServer Copyright © 2006 17B0B634010F4076DA00548F9B44C3D4 37.50 кб, rsAh,создан: 30.06.2017 11:24:45,изменен: 30.06.2017 12:32:43
Командная строка:
C:\ProgramData\Medoc\Medoc_2SRV\DMF.AppServer.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 504 DMF.AppServer Copyright © 2006 17B0B634010F4076DA00548F9B44C3D4 37.50 кб, rsAh,создан: 30.06.2017 11:24:45,изменен: 30.06.2017 12:32:43
Командная строка:
 
если учесть что через M.E.Doc в недавнее время прошла целая группа шифраторов: ~xdata~, Globeimposter, NotPetya а так же клон WannaCry, то возможно шифрануло чем то из этой группы.
Хорошо бы посмотреть лог ESET журнала угроз, если сохранились записи.
(или предоставьте его на форуме, где выполняют лечение вашей системы.)
 
Погу предложить скриншот листинга файлов в карантине.
Безымный.png (141.19 КБ)
 
Евгений,
а можно экспортировать список угроз (из журнала угроз) в текстовый файл и добавить этот файл на форум?
судя по содержимому карантина (readme.txt - diskcoder.C) шифрануло скорее всего NotPetya-ей
 
к сожалению не могу этого сделать так как сам журнал угроз пустой.
 
это скорее всего интерфейсная ошибка. не показывает записи из журнала угроз, хотя в файле угроз они есть.
сделайте тогда лог ESET log collector, в него будет добавлен файл лога журнала угроз.
https://download.eset.com/com/eset/tools/diagnosis/log_collector/latest/esetlogcol­lector_rus.exe
 
Сделал.
Страницы: 1 2 След.
Читают тему (гостей: 1)