@Евгений Галишинский,

добавьте образ автозапуска системы

@Andrei Balan ,
добавьте образ автозапуска системы,
возможно в системе остались еще файлы шифратора
+
добавьте несколько зашифрованных файлов в архиве

на форум можно писать и без лицензии.
в [email protected] имеет смысл написать еще и потому что у вас запросят специализированный лог ESET log collector с пострадавшей машины для вирлаба, помимо сэмпла и зашифрованных файлов. Сколько по времени этот процесс продлится, возможно 2-3 недели, если расшифровка станет возможной. Если вы заинтересованы в восстановлении зашифрованных документов, то стоит искать решение по нескольким направлениям.

@Deonis Andersen,

по расшифровке файлов напишите в [email protected] при наличие лицензии на продукт ESET

пока что неясно, есть расшифровка файлов по данному варианту или нет. Как будет больше информации, отвечу в этой теме.

загрузите этот файл на https://www.hybrid-analysis.com/ для анализа с предоставлением доступа,
и дайте ссылку на тему анализа (когда он завершится) в личные сообщения

результат проверки:
https://www.virustotal.com/gui/file/168b7f0d1953f42adeabd744538c07a3bb24f6acef24458­b31fd1c29410cd631/detection

https://app.any.run/tasks/175b00d9-0858-474e-afaf-854ba032e66e

@Deonis Andersen,

добавьте образ автозапуска системы
+
несколько зашифрованных файлов в архиве,
+
записку о выкупе, если есть в системе.

Сразу скажу, что спасти систему и документы не получилось, пользователь переустановил систему. А спасти было возможно.

Судя по источнику угрозы - это был Petya Ransomware,

https://www.virustotal.com/gui/file/26b4699a7b9eeb16e76305d843d4ab05e94d43f32014369­27e13b3ebafa90739/detection

после проверки на VM, оказалось что это классический Petya Ransomware (вариант Red) загруженный из бескрайних просторов сети. С этим вариантом распрощались еще два года назад, в связи с тем, что автором JanusSecretary (или авторским коллективом) были сданы  мастер-ключи.



На сегодня есть несколько надежных методов спасти систему и документы после подобной атаки.

во первых, это инструменты hack-petya от leo-stone, которые применимы к Petya Red:
https://github.com/leo-stone/hack-petya/releases/tag/v2.0.1

во вторых, это загрузочный диск antipetya_ultimate от hasherezade, который так же работает для случая Red
https://github.com/hasherezade/petya_key/releases/download/0.2/antipetya_ultimate.iso

в третьих, это инструменты petya_key от hasherezade для получения ключа по известному уникальному идентификатору (в данном случае был ), который содержится на экране ввода ключа, а так же может быть извлечен из из первых 64 секторов системного диска.

Чтобы извлечь нужные 64сектора диска используем загрузочный Winpe + инструментарий DMDE
для hack-petya можно собрать информацию с помощью утилиты от Фабиана Восара PETYAEXTRACTOR.EXE:
---------
для получения ключа, я использовал второй и третий методы, простой и сложный.

по второму методу: можно загрузиться с antipetya_ultimate и далее, следуя подсказкам ввести необходимые команды и параметры, и автоматически получить ключ для расшифровки MFT.


по третьему методу: можно использовать простой путь: получить скриншот экрана, содержащего идентификатор, преобразовать изображение в plain text, выделить блок с идентификатором, преобразовать в нужную кодировку ANSI Win 1251(если текст с online сервиса был получен, например, в UTF-8),
далее, блок сохраняем в файл ID.txt и используем для получения ключа в petya_key:




однако, этот метод сработает, если распознание рисунка будет на 100% безошибочным. Ошибка с распознанием хотя бы одного символа приведет к ошибке с получением ключа. А визуально, найти ошибку будет непросто.

Надежнее, таки загрузиться с Winpe, скопировать с 0 по 63 секторы проблемного жесткого диска, сохранить в файл *.bin с последующим извлечением (можно использовать hex-редакторы: Winhex или xwforensics) необходимого идентификатора.



Замечает, что после ввода правильного ключа идет процесс расшифровки.



Интересно, что по первому методу от leo-stone, ключ так же был вычислен (и успешно применен для расшифровки диска), но с некоторым отличием от метода hasherezade.

остается добавить, что веб-генератор ключа, созданный leo-stone по адресам :
petya-pay-no-ransom.herokuapp.com и petya-pay-no-ransom-mirror1.herokuapp.com
спустя некоторое время прекратил работу, поэтому для получения ключа применяем им же созданную офлайновую утилиту hack-petya. И здесь есть некоторый нюанс. PetyaExtractor (F.Wosar) создавал файлики src.txt и nonce.txt в base64 кодировке (для веб-генератора ключа), а для офлайновой утилиты необходимо эти же данные предварительно декодировать из base64.


результат:

Скрытый текст

G00000000  cb f0 82 97 9a 61 e2 1b  44 a2 db c8 92 96 04 82  |.....a..D.......| 00000010  00 06 80 0e 63 5a 7e 16  5e d6 5e cd 7a ce e8 ca  |....cZ~.^.^.z...| 00000020  ca f0 02 97 9a 27 e2 db  c4 a4 db c8 92 56 04 82  |.....'.......V..| 00000030  02 1c 80 4e 62 5a 7e 15  de 16 5e cb 7a cc eb ca  |...NbZ~...^.z...| 00000040  ca f0 02 97 9a 63 e2 5b  c4 a1 db c8 92 d6 04 82  |.....c.[........| 00000050  04 3e 80 ce 65 5a fe 14  5e 96 5e cd 7a cd e8 ca  |.>..eZ..^.^.z...| 00000060  c9 f0 82 98 9a 2d e2 5b  44 a2 db c8 92 96 04 82  |.....-.[D.......| 00000070  06 04 80 ce 64 5a fe 14  de 16 5e cb 7a cc eb ca  |....dZ....^.z...| 00000080  c9 f0 02 9e 9a 3f e2 9b  c4 a2 db c8 92 56 04 82  |.....?.......V..| 00000090  08 26 80 ce 62 5a fe 15  de 56 5e cb 7a cb eb ca  |.&..bZ...V^.z...| 000000a0  cc f0 02 98 9a 61 e2 1b  c4 a4 db c8 92 96 04 82  |.....a..........| 000000b0  0a 22 80 8e 64 5a fe 14  de 56 5e cb fa cc eb ca  |."..dZ...V^.....| 000000c0  cb f0 02 97 9a 61 e2 db  c4 a2 db c8 92 d6 04 82  |.....a..........| 000000d0  0c 1e 80 8e 62 5a fe 15  de 56 5e cb fa cd eb ca  |....bZ...V^.....| 000000e0  cc f0 02 9d 9a 43 e2 1b  c4 a1 db c8 92 96 04 82  |.....C..........| 000000f0  0e 38 80 ce 63 5a 7e 15  de 96 5e cb 7a cb eb ca  |.8..cZ~...^.z...| [61643 38786 24986 7138 41540 51419 38546 33284 1536 3712 23139 5758 54878 52574 52858 51944] Your key is:  GxSx7xhxExux5xCx

-------------

-------------
(с), chklst.ru

актуальная тема "Уничтожить dllhostex.exe", спасибо Кузнецову Дмитрию (и uVS) за помощь в решение этой проблемы.

по этой эпидемии WannaMine4.0  обзор:




https://www.sangfor.com/source/blog-network-security/1201.html

+
Хакер.ру о WannaMine


https://xakep.ru/2018/09/17/wannamine-alive/

используем tnod
C:\PROGRAM FILES (X86)\TNOD\TNODUP.EXE
по правилам нашего форума, помощь пользователям, которые используют взлом антивируса, не оказывается.
тема будет закрыта.
обращайтесь за помощью на другой форум.

+
вопрос: антивирусные продукты установлены вручную, или через консоль управления в ESET Security Management Center (ESMC)?