Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

вероятно, NotPetya шифранул файлы

1 2 След.
RSS
 
Евгений Беспалый
Евгений Беспалый
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 12.07.2017
Размещено 12.07.2017 10:45:18
Добрый день всем!
Есть подозрение что все файлы на одном из логических дисков компьютера оказались зашифрованы, при этом, что странно, на этой машине нету письма с требованием о выкупе.

Помогите пожалуйста определить тип шифровальщика для того чтобы понимать возможна ли дешифрация!

Примеры файлов прилагаю, если нужно - готов выложить еще примеры.
Спасибо всем большое за помощь.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 12.07.2017 11:04:40
пробуйте через этот сервис определить тип шифратора.
https://id-ransomware.malwarehunterteam.com/index.php
[ Как создать образ автозапуска? ]
 
Евгений Беспалый
Евгений Беспалый
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 12.07.2017
Размещено 12.07.2017 12:16:38
Цитата
santy написал:
пробуйте через этот сервис определить тип шифратора.
https://id-ransomware.malwarehunterteam.com/index.php
Cпасибо но для этого сайта нужен файл с требованием о выкупе а я не вижу подобного файла на исследуемой системе.
Прилагаю также отчет сделанный с помощью набора утилит Autologger с данной системы:  
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 12.07.2017 14:51:57
Евгений Беспалый,
если нужна проверки системы с очисткой, тогда добавьте образ автозапуска системы
инструкция как это сделать по ссылке в моей подписи.
-------
update:
судя по вашим логам возможно что и Petya шифранул файлы, а доступ к загрузочной записи не получил.

Цитата
C:\ProgramData\Medoc\Medoc_2SRV\DMF.AppServer.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 8348 DMF.AppServer Copyright © 2006 17B0B634010F4076DA00548F9B44C3D4 37.50 кб, rsAh,создан: 30.06.2017 11:24:45,изменен: 30.06.2017 12:32:43
Командная строка:
C:\ProgramData\Medoc\Medoc_2SRV\DMF.AppServer.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 504 DMF.AppServer Copyright © 2006 17B0B634010F4076DA00548F9B44C3D4 37.50 кб, rsAh,создан: 30.06.2017 11:24:45,изменен: 30.06.2017 12:32:43
Командная строка:
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 14.07.2017 15:48:16
если учесть что через M.E.Doc в недавнее время прошла целая группа шифраторов: ~xdata~, Globeimposter, NotPetya а так же клон WannaCry, то возможно шифрануло чем то из этой группы.
Хорошо бы посмотреть лог ESET журнала угроз, если сохранились записи.
(или предоставьте его на форуме, где выполняют лечение вашей системы.)
[ Как создать образ автозапуска? ]
 
Евгений Беспалый
Евгений Беспалый
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 12.07.2017
Размещено 17.07.2017 13:24:32
Погу предложить скриншот листинга файлов в карантине.
Безымный.png (141.19 КБ)
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 17.07.2017 14:50:45
Евгений,
а можно экспортировать список угроз (из журнала угроз) в текстовый файл и добавить этот файл на форум?
судя по содержимому карантина (readme.txt - diskcoder.C) шифрануло скорее всего NotPetya-ей
[ Как создать образ автозапуска? ]
 
Евгений Беспалый
Евгений Беспалый
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 12.07.2017
Размещено 17.07.2017 15:45:52
к сожалению не могу этого сделать так как сам журнал угроз пустой.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 17.07.2017 16:05:24
это скорее всего интерфейсная ошибка. не показывает записи из журнала угроз, хотя в файле угроз они есть.
сделайте тогда лог ESET log collector, в него будет добавлен файл лога журнала угроз.
https://download.eset.com/com/eset/tools/diagnosis/log_collector/latest/esetlogcol­lector_rus.exe
[ Как создать образ автозапуска? ]
 
Евгений Беспалый
Евгений Беспалый
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 12.07.2017
Размещено 17.07.2017 16:09:57
Сделал.
 
1 2 След.
Читают тему