[QUOTE]Екатерина Савичева написал:
Добрый день.
Были зашифрованы файлы на ПК в локальной сети. Шифровальщик неизвестен, тело вируса не было найдено.
(Шифровальщик [[email protected]])
В архивах записка с требованиями, оригинальный файл и его зашифрованная версия.
Логов с зараженного ПК нет.

Возможно ли расшифровать?[/QUOTE]

Файлы расшифрованы:

[2023.03.17 14:16:54.885] - .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT.. Win32/Filecoder.NHT
[2023.03.17 14:16:54.893] - .::EE::::EE:SS:::::::.EE....EE....TT...... Version: 1.0.0.7
[2023.03.17 14:16:54.897] - .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT...... Built: Mar 15 2023
[2023.03.17 14:16:54.899] - .::EE:::::::::::::SS:.EE..........TT......
[2023.03.17 14:16:54.901] - .::EEEEEE:::SSSSSS::..EEEEEE.....TT..... Copyright © ESET, spol. s r.o.
[2023.03.17 14:16:54.902] - ..::::::::::::::::::.................... 1992-2023. All rights reserved.

[2023.03.17 14:16:54.996] -
[2023.03.17 14:16:54.999] - INFO: Cleaning file [[email protected]\forum.esetnod32.ru\2021-11-26 Потураев дефицит кадров на 2022.doc[[email protected]].[558B2224-694565F3]]
[2023.03.17 14:17:08.563] - INFO: Found key.
[2023.03.17 14:17:08.563] - INFO: Original filename: [2021-11-26 Потураев дефицит кадров на 2022.doc]
[2023.03.17 14:17:08.600] - INFO: Cleaned.
[2023.03.17 14:17:08.609] -

[2023.03.17 14:17:26.419] - INFO: 5 encrypted file(s) found.
[2023.03.17 14:17:26.420] - INFO: 5 file(s) decrypted.
[2023.03.17 14:17:26.422] - INFO: 0 file(s) NOT decrypted.
[2023.03.17 14:19:15.508] - End

[QUOTE]RP55 RP55 написал:
bFixedName = 1; Запускать uVS с постоянным именем, для удаленных систем по постоянному пути.


Изменено: RP55 RP55  - 14.03.2023 13:04:23[/QUOTE]
не помогло, вернул прежний типа запуска bFixedName=0
помогают два исключения при включенных сбалансированных настройках:
по хэшу:
7B666291C6ABD8C367FF250DF205BBF08830CDE3
и наименованию детекта:
Win32/UniversalVirusSniffer.A

даже при отключении детектирования категории "подозрительные приложения" модуль запуска, который создается с пощью start.exe блокируется как  Suspicious Object
сейчас можно просто добавить хэш модуля 7B666291C6ABD8C367FF250DF205BBF08830CDE3 в исключение для любых обнаружений.

ESET стал детектировать uVS
Время;Модуль сканирования;Тип объекта;Объект;Обнаружение;Действие;Пользователь;Информация;Хэш;Первое обнаружение здесь
13.03.2023 21:10:31;Защита файловой системы в реальном времени;файл;E:\soft\avirus\Universal Virus Sniffer latest\ayedge;Suspicious Object;очищено удалением (после следующего перезапуска);NT AUTHORITY\система;Событие произошло при попытке получения доступа к файлу следующим приложением: C:\Windows\System32\SearchProtocolHost.exe (D7F955DF3682F3C9F51F4CE16B4DA8E77EC1C198).;7B666291C6ABD8C367FF250DF205BBF08830CDE3;05.01.2023 12:20:12

+ можно просто удалить белые ярлыки с панели задач

update:
по FONIX/RYK известны следующие почты:
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]

update3:

Определенные группы файлов просто полностью испорчены вредоносной программой
краткое резюме от Эмсисофт:

* Any File [<300KB] = Good
* .zip [300KB - 2GB] = Unrecoverable
* .zip [2GB+] = Recoverable
* "Important" [300KB - 2GB] = Good
* "Important" [2GB+] = Unrecoverable
* Other File [300KB - 2GB] = Good
* Other File [2GB+] = Recoverable

С «Важными» расширениями, которые они вносят в белый список, например .MDF, .SQL, .VHD и т. д.

update4:
стала возможна расшифровка раннего варианта FONIX/Phobos/eking

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v4.13 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
delhst 0.0.0.0 expire.eset.com
delhst 0.0.0.0 edf.eset.com
dnsreset
;------------------------autoscript---------------------------

delref HTTPS://OVGORSKIY.RU
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

перезагрузка, пишем о старых и новых проблемах.
------------
Если проблема с ярлыками не решится, сделайте, пожалуйста фото экрана с ярлыками, а так же свойства ярлыка чтобы было видно, что прописано в строке объекта

[QUOTE]Андрей Волынский написал:
Файлы ключ который прислали во вложении, единственное записку куда-то дел, но Камил и ключ тот же что и в имени файла[/QUOTE]
Записку конечно, желательно проверить: соответствует в ней ID тому, что есть на зашифрованных файлах или нет.
Release Notes.txt.[[B]MJ-VJ0189672354[/B]]([email protected]).MrWhite
Так же ID можно проверить в этом файле: IDk.txt
Если исходить, что соответствует - дешифровка файлов не выполняется при вводе ключа и других параметров.
Прежний кейс по шифрованию mifr расшифровывается, так что вам надо проверить ключ, достоверный или нет.

Судя по маркерам в зашифрованных файлах
0000000000000000000000000000000000000000
а так же по шаблону наименования зашифрованного файла:
FileName.id[5A0414FE-2899].[e-mail].eking:
это  Filecoder.Phobos
Сделайте, пожалуйста, следующие логи для поиска файлов шифровальщика и анализа проникновения:
образ автозапуска в uVS.
Как собрать, подробнее на нашем техническом форуме:
https://forum.esetnod32.ru/forum9/topic2687/
и
"SysVulnCheck_out.zip" (лог, созданный в программе ESETSysVulbCheck)

Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
https://ftp.eset.sk/samples/svchecker/ESETSysVulnCheck.exe
и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита,
появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.