ivan-e

.save encrypted files

Recommended Posts

When were the files encrypted (month, date) ? / Когда произошло шифрование? 

This decryptor  supports only variants from the list / Дешифровщик поддерживает только варианты из списка:
_V.0.0.0.1{<email>}.paradise
_<random>_{<email>}.2k19sys
_<random>_{<email>}.p3rf0rm4
_<random>_{<email>}.immortal
_<random>_{<email>}.sambo
_<random>_{<email>}.exploit
*_<random>_{<email>}.Recognizer
*_<random>_{<email>}.prt
_Support_{<random>}.FC
_Kim Chin Im_{<random>}.sev

Share this post


Link to post
Share on other sites

Amigo-A is correct that the decrypter only supports a limited number of extensions for the Paradise ransomware. Not all of them are currently decryptable, so if the decrypter says your files are not supported then I recommend making a backup of all encrypted files in case we're able to update the decrypter in the future.

Share this post


Link to post
Share on other sites
15 hours ago, ivan-e said:

The files were encrypted 30-31 Oct 2019

Значит это более новый вариант. Нужно как можно скорее провести поиск вредоносов среди скачанных файлов или тех, которые были запущены в последний день перед шифрованием. Можете использовать этот список директорий. Необходимо предварительно включить отображение скрытых и системных папок и файлов. Соберите найденное подозрительное в архив или пересылайте каждый на VirusTotal и копируйте из адресной строки ссылку на анализ. Вставляйте в новое сообщение.

Ничего НЕ запускайте, чтобы посмотреть! Не запускайте чистильщики, пока не соберете материал. 

Share this post


Link to post
Share on other sites
23 minutes ago, Amigo-A said:

Значит это более новый вариант. Нужно как можно скорее провести поиск вредоносов среди скачанных файлов или тех, которые были запущены в последний день перед шифрованием. Можете использовать этот список директорий. Необходимо предварительно включить отображение скрытых и системных папок и файлов. Соберите найденное подозрительное в архив или пересылайте каждый на VirusTotal и копируйте из адресной строки ссылку на анализ. Вставляйте в новое сообщение.

Ничего НЕ запускайте, чтобы посмотреть! Не запускайте чистильщики, пока не соберете материал. 

К сожалению, уже не выйдет. Восстановили работу из последней резервной копии, к счастью, вирус похерил только последнюю небольшую часть файла базы 1с, возможно там нет критичной информации. Проверяем пока что все что можем 

Вероятнее всего проник злоумышленник к нам на комп через RDP. Почитал новости последние, ужаснулся сколько критичных проблем постоянно обнаруживаеся в этом протоколе :(( 

Из подозрительного собрал вот это https://www.virustotal.com/gui/file/090dae42e26223641c3654ffb2fa848b70027c1f50ce9391aaf3cc98d8b6c967/detection

Share this post


Link to post
Share on other sites

Этот файл в архиве, потому обнаружение неявное. Но это решаемо. 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.