Зашифрованы файлы с расширением .e-mail.ID* , возможно, RSAUtil

RSS
Добрый день! На двух компьютерах был пойман шифратор (запустился ночью без участия пользователей на обеих машинах примерно в одно и то же время), зашифровал все файлы  расширением .some@mail.ru.ID16035194, были изменены все папки, кроме системных, вплоть до ярлыков на рабочем столе. ID везде одинаковый, списался с вымогателем и скинул ему по файлу с каждого компьютера, он прислал их расшифрованными. На одном компьютере через Kaspersky Removal Tool обнаружил Trojan-Ransom.Win32.Agent.iyp, на втором ничего. Nod32 4.2.76.1 молчал, в журнале угроз ничего. Есть возможность как-то расшифровать файлы, или единственный способ сейчас — на свой страх и риск заплатить? Во вложении — пример зашифрованного файла.

-----------
по расшифровке файлов, зашифрованных в RSAUtil обращайтесь в support@esetnod32.ru
Изменено: Роман Небелюк - 28.10.2018 14:16:58

Ответы

судя по детектированию на IDRansomware
Цитата
Опознан как

   ransomnote_filename: How_return_files.txt
   ransomnote_email: bene556@gmx.de
   sample_extension: .<email>.ID<id>

это RSAUtil Ransomware
расшифровки по нему в настоящее время нет.
можно так же следить за этой темой
https://www.bleepingcomputer.com/forums/t/646245/rsautil-ransomware-help-topic-how-return-filestxt-helppmeindiacom/
Сделал
судя по новому образу чисто теперь,
по расшифровке не поможем. архивные копии, пока что - единственный шанс в вашем случае восстановить файлы.
Ясно. Спасибо.
Приветствую, тоже попал. Лицензионный НОД32 молчал аки рыба. Лицензионный Win8.1 pro со всеми обновлениями.
Изменено: Андрей Ошарин - 04.10.2017 10:50:53
Цитата
Андрей Ошарин написал:
Приветствую, тоже попал. Лицензионный НОД32 молчал аки рыба. Лицензионный Win8.1 pro со всеми обновлениями.
Андрей, вы наверное перепутали форумы. обратились в техподдержку дрвеб, а пишете на форуме eset.
Файлы для анализа куда предоставить???
Цитата
Андрей Ошарин написал:
Файлы для анализа куда предоставить?
support@esetnod32.ru
если вы лицензионный пользователь,
пришлите желательно файл шифратора в архиве с паролем infected, несколько зашифрованных файлов, несколько чистых файлов, лог ESET log collector, созданный на пострадавшем от шифрования компьютере.
Читают тему (гостей: 1)