Файлы зашифрованы с расширением .Scarab , Scarab/Filecoder.FS

Пока слегло 2 ПК, люди добрые, хелп! Файлы зашифрованы, антивирус удален. Сетку отключил от этих ПК. Если ляжет еще один, буду рубить сервак. Есть дешефратор?
Цитата
Дмитрий Корзун написал:
Пока слегло 2 ПК, люди добрые, хелп! Файлы зашифрованы, антивирус удален. Сетку отключил от этих ПК. Если ляжет еще один, буду рубить сервак. Есть дешефратор?
Дмитрий,
добавьте по каждому  ПК где произошло шифрование, образ автозапуска системы, записку о выкупе + несколько зашифрованных файлов. (желательно с оригинальными_чистыми версиями этих файлов.)
Записку о выкупе прикрепить не удается, так же как и открыть. Антивирус убивает ее, без антивируса боязно ее запускать.
возможно в этом файле был шифратор, сейчас его нет

Полное имя                  C:\USERS\1C\APPDATA\ROAMING\MICROSOFT\WMON32.EXE
Имя файла                   WMON32.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Ссылки на объект            
Ссылка                      HKLM\dgbdswaul\Software\Microsoft\Windows\CurrentVersion\Run­\wmon
wmon                        C:\Users\1c\AppData\Roaming\Microsoft\wmon32.exe
                           
---------------
записку о выкупе можно извлечь в безопасном режиме системы.
Спасибо! а как дешифровать?  
Цитата
Дмитрий Корзун написал:
Спасибо! а как дешифровать?  
пока что надо точно идентифицировать вид шифратора.  запиской о выкупе идентификация будет точнее.
вот тут записка
Цитата
Для этого вымогателя пока нет способа дешифровки данных.

Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик.

Опознан как

   custom_rule: Encrypted size marker [0x00 - 0x08] 0x827B000000000000

https://id-ransomware.malwarehunterteam.com/identify.php?case=b98e9997113869d5b76c0ae6f30781ed57349247

https://www.bleepingcomputer.com/forums/t/651855/mich78-ransomware-recoverytxt-mich78usacom-support-topic/
---------------
если у вас есть лицензия на продукты ESET, напишите в suport@esetnod32.ru,
возможно вирлаб найдет решение про расшифровке
в сообщение вы можете добавить зашифрованные, оригинальные файлы, записку о выкупе, + если сохранился источник заражения.
Добрый день! Проверьте можно ли расшифровать  
Цитата
Vasiliy Chumakov написал:
если у вас есть лицензия на продукты ESET, напишите в suport@esetnod32.ru, возможно вирлаб найдет решение про расшифровкев сообщение вы можете добавить зашифрованные, оригинальные файлы, записку о выкупе, + если сохранился источник заражения.

если у вас есть лицензия на продукты ESET, напишите в suport@esetnod32.ru,
возможно вирлаб найдет решение про расшифровке
в сообщение вы можете добавить зашифрованные, оригинальные файлы, записку о выкупе, + если сохранился источник заражения.
Читают тему (гостей: 1)