зашифровано с расширением *.phoenix; .phobos; Caley; .Banta; .calum; .dever; .dewar; .lks; .STEEL; .Lizard; .decrypt; . Elbie; .unique; .SHTORM; .eking , Filecoder.Phobos

Добрый день. Поймали шифровальщика phoenix/phobos. Видимо через rdp.
Есть ли возможность расшифровать?

все файлы имеют вид  -

xxx.yyy.id[много цифр].[[email protected]].phoenix

на диске с файл с текстом:

!!! All of your files are encrypted !!!
To decrypt them send e-mail to this address: [email protected].
If we don't answer in 24h., send e-mail to this address: [email protected]
If there is no response from our mail, you can install the Jabber client and write to us in support of [email protected]

@STANISLAV KERZHENTSEV,
по лечению системы.
судя по логу cureit
C:\users\администратор\appdata\roaming\microsoft\windows\start­ menu\programs\startup\batecaddric.exe - infected with Win32.HLLP.Neshta
у вас ко всему прочему еще было заражение файловым вирусом Neshta
проверьте системный диск полностью еще раз с помощью cureit
(чтобы убедиться, что все найденные зараженные файлы были обезврежены)
лог проверки добавьте на форум.

по расшифровке файлов:
добавьте на форум записку о выкупе и пару зашифрованных файлов в архиве
+
сделайте проверку на http://virustotal.com этого файла
файл должен остаться в карантине cureit
скорее всего это файл шифратора, просто был заражен после запуска еще и neshta

Изначальная записка выше, далее пришел такой ответ:

Decoding Files 0,7 btc tommorow 0,9 btc - 1 PC =From 3 PC-price negotiable pay in Bitcoin (BTC) translation at the expense of Bitcoin 33PeMvvFuRvy5FUdcB3jwJoWHKfkmf3AqA
Buy Bitcoin here https://localbitcoins.com or https://www.buybitcoinworldwide.com/find-exchange/ or https://www.coinbase.com or https://www.xmlgold.eu or any other exchanger or write to Google how to buy Bitcoin in your country?
in order to guarantee the availability of our key we can decrypt one file for free the size of the files <1 mb, doc.docx.xls.xlsx.pdf.jpg.bmp.txt file format other formats will not be free decryption after payment you will receive a program how many computers do you have encrypted ?
what country are you from ?

each decryption key is worth the money. no money, no transcript

we also offer service to you. full of advice for protecting against attacks? - the price of 0.1 BTC and remember our work is very hard. and it requires a lot of time and costs.

If there is no response from our mail, you can install the Jabber client and write to us in support of [email protected] or [email protected]

Приложил 2 закодированных и 2 оригинальных файла.

Файл из карантина  на Virus total отправил.
Что дальше?

@STANISLAV KERZHENTSEV,
добавьте линк проверки файлов на virustotal.com

судя по детекту на VT исполняемый файл заражен файловым вирусом neshta

попробуйте загрузить этот файл для анализа на
https://www.hybrid-analysis.com/
разрешите общий доступ к этому файлу
-------
по phobos, к сожалению, в вирлабах на текущий момент расшифровки нет.
восстановление документов возможно только из резервных копий.

https://www.hybrid-analysis.com/sample/2ad9911e932291547af58d0cb504b4fffd861ba819746908f­5adf08fb9484...

готово.

функция шифрования не обнаружена в данном файле, хотя имя файла связано с именем почты злоумышленников [email protected]

Добрый день, поймал шифровальщика, [B61DC8B9-2422].[jabber [email protected]].Caley, помогите расшифровать.

@Ильфат Юсупов,
добавьте несколько зашифрованных файлов и записку о выкупе в архив, и поместите в ваше сообщение на форум.
+
сделайте образ автозапуска системы, возможно файлы шифратора еще остались в системе