ivan-e 0 Posted October 31, 2019 Report Share Posted October 31, 2019 Hi. Today my files were encrypted. Here I attach sample and message I tried paradise decoded but it sais file not supported How to decode files? Возврат пикпоинт.docx[id-f6MooUeY].[[email protected]].safe =_BACK_FILES_~.html Quote Link to post Share on other sites
Amigo-A 136 Posted October 31, 2019 Report Share Posted October 31, 2019 When were the files encrypted (month, date) ? / Когда произошло шифрование? This decryptor supports only variants from the list / Дешифровщик поддерживает только варианты из списка: _V.0.0.0.1{<email>}.paradise _<random>_{<email>}.2k19sys _<random>_{<email>}.p3rf0rm4 _<random>_{<email>}.immortal _<random>_{<email>}.sambo _<random>_{<email>}.exploit *_<random>_{<email>}.Recognizer *_<random>_{<email>}.prt _Support_{<random>}.FC _Kim Chin Im_{<random>}.sev Quote Link to post Share on other sites
ivan-e 0 Posted October 31, 2019 Author Report Share Posted October 31, 2019 The files were encrypted 30-31 Oct 2019 Quote Link to post Share on other sites
GT500 854 Posted November 1, 2019 Report Share Posted November 1, 2019 Amigo-A is correct that the decrypter only supports a limited number of extensions for the Paradise ransomware. Not all of them are currently decryptable, so if the decrypter says your files are not supported then I recommend making a backup of all encrypted files in case we're able to update the decrypter in the future. Quote Link to post Share on other sites
Amigo-A 136 Posted November 1, 2019 Report Share Posted November 1, 2019 15 hours ago, ivan-e said: The files were encrypted 30-31 Oct 2019 Значит это более новый вариант. Нужно как можно скорее провести поиск вредоносов среди скачанных файлов или тех, которые были запущены в последний день перед шифрованием. Можете использовать этот список директорий. Необходимо предварительно включить отображение скрытых и системных папок и файлов. Соберите найденное подозрительное в архив или пересылайте каждый на VirusTotal и копируйте из адресной строки ссылку на анализ. Вставляйте в новое сообщение. Ничего НЕ запускайте, чтобы посмотреть! Не запускайте чистильщики, пока не соберете материал. Quote Link to post Share on other sites
ivan-e 0 Posted November 1, 2019 Author Report Share Posted November 1, 2019 23 minutes ago, Amigo-A said: Значит это более новый вариант. Нужно как можно скорее провести поиск вредоносов среди скачанных файлов или тех, которые были запущены в последний день перед шифрованием. Можете использовать этот список директорий. Необходимо предварительно включить отображение скрытых и системных папок и файлов. Соберите найденное подозрительное в архив или пересылайте каждый на VirusTotal и копируйте из адресной строки ссылку на анализ. Вставляйте в новое сообщение. Ничего НЕ запускайте, чтобы посмотреть! Не запускайте чистильщики, пока не соберете материал. К сожалению, уже не выйдет. Восстановили работу из последней резервной копии, к счастью, вирус похерил только последнюю небольшую часть файла базы 1с, возможно там нет критичной информации. Проверяем пока что все что можем Вероятнее всего проник злоумышленник к нам на комп через RDP. Почитал новости последние, ужаснулся сколько критичных проблем постоянно обнаруживаеся в этом протоколе :(( Из подозрительного собрал вот это https://www.virustotal.com/gui/file/090dae42e26223641c3654ffb2fa848b70027c1f50ce9391aaf3cc98d8b6c967/detection Quote Link to post Share on other sites
Amigo-A 136 Posted November 2, 2019 Report Share Posted November 2, 2019 Этот файл в архиве, потому обнаружение неявное. Но это решаемо. Quote Link to post Share on other sites
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.