Вход
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

Зашифрованы файлы с расширением .e-mail.ID* , возможно, RSAUtil

RSS
 
Роман Небелюк
Роман Небелюк
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 24.05.2016
Размещено 15.05.2017 18:17:39
Добрый день! На двух компьютерах был пойман шифратор (запустился ночью без участия пользователей на обеих машинах примерно в одно и то же время), зашифровал все файлы  расширением [email protected], были изменены все папки, кроме системных, вплоть до ярлыков на рабочем столе. ID везде одинаковый, списался с вымогателем и скинул ему по файлу с каждого компьютера, он прислал их расшифрованными. На одном компьютере через Kaspersky Removal Tool обнаружил Trojan-Ransom.Win32.Agent.iyp, на втором ничего. Nod32 4.2.76.1 молчал, в журнале угроз ничего. Есть возможность как-то расшифровать файлы, или единственный способ сейчас — на свой страх и риск заплатить? Во вложении — пример зашифрованного файла.

-----------
по расшифровке файлов, зашифрованных в RSAUtil обращайтесь в [email protected]
Изменено: Роман Небелюк - 28.10.2018 14:16:58

Ответы

Пред. 1 2
 
santy
santy
Администратор
Сообщений: 17909
Баллов: 28653
Регистрация: 16.03.2010
Размещено 11.09.2017 12:06:59
судя по детектированию на IDRansomware
Цитата
Опознан как

   ransomnote_filename: How_return_files.txt
   ransomnote_email: [email protected]
   sample_extension: .<email>.ID<id>

это RSAUtil Ransomware
расшифровки по нему в настоящее время нет.
можно так же следить за этой темой
https://www.bleepingcomputer.com/forums/t/646245/rsautil-ransomware-help-topic-how-return-filestxt-helppmeindiacom/
[ Как создать образ автозапуска? ]
 
Andrey Yakyshev
Andrey Yakyshev
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 10.09.2017
Размещено 11.09.2017 12:35:55
Сделал
 
santy
santy
Администратор
Сообщений: 17909
Баллов: 28653
Регистрация: 16.03.2010
Размещено 11.09.2017 12:41:40
судя по новому образу чисто теперь,
по расшифровке не поможем. архивные копии, пока что - единственный шанс в вашем случае восстановить файлы.
[ Как создать образ автозапуска? ]
 
Andrey Yakyshev
Andrey Yakyshev
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 10.09.2017
Размещено 11.09.2017 12:45:48
Ясно. Спасибо.
 
Андрей Ошарин
Андрей Ошарин
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 04.10.2017
Размещено 04.10.2017 10:29:32
Приветствую, тоже попал. Лицензионный НОД32 молчал аки рыба. Лицензионный Win8.1 pro со всеми обновлениями.
Изменено: Андрей Ошарин - 04.10.2017 10:50:53
 
santy
santy
Администратор
Сообщений: 17909
Баллов: 28653
Регистрация: 16.03.2010
Размещено 04.10.2017 10:51:43
Цитата
Андрей Ошарин написал:
Приветствую, тоже попал. Лицензионный НОД32 молчал аки рыба. Лицензионный Win8.1 pro со всеми обновлениями.
Андрей, вы наверное перепутали форумы. обратились в техподдержку дрвеб, а пишете на форуме eset.
[ Как создать образ автозапуска? ]
 
Андрей Ошарин
Андрей Ошарин
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 04.10.2017
Размещено 04.10.2017 11:23:01
Файлы для анализа куда предоставить???
 
santy
santy
Администратор
Сообщений: 17909
Баллов: 28653
Регистрация: 16.03.2010
Размещено 04.10.2017 11:31:11
Цитата
Андрей Ошарин написал:
Файлы для анализа куда предоставить?
[email protected]
если вы лицензионный пользователь,
пришлите желательно файл шифратора в архиве с паролем infected, несколько зашифрованных файлов, несколько чистых файлов, лог ESET log collector, созданный на пострадавшем от шифрования компьютере.
[ Как создать образ автозапуска? ]
 
Пред. 1 2
Читают тему