ivan-e 0 Report post Posted October 31, 2019 Hi. Today my files were encrypted. Here I attach sample and message I tried paradise decoded but it sais file not supported How to decode files? Возврат пикпоинт.docx[id-f6MooUeY].[[email protected]].safe =_BACK_FILES_~.html Quote Share this post Link to post Share on other sites
Amigo-A 135 Report post Posted October 31, 2019 When were the files encrypted (month, date) ? / Когда произошло шифрование? This decryptor supports only variants from the list / Дешифровщик поддерживает только варианты из списка: _V.0.0.0.1{<email>}.paradise _<random>_{<email>}.2k19sys _<random>_{<email>}.p3rf0rm4 _<random>_{<email>}.immortal _<random>_{<email>}.sambo _<random>_{<email>}.exploit *_<random>_{<email>}.Recognizer *_<random>_{<email>}.prt _Support_{<random>}.FC _Kim Chin Im_{<random>}.sev Quote Share this post Link to post Share on other sites
ivan-e 0 Report post Posted October 31, 2019 The files were encrypted 30-31 Oct 2019 Quote Share this post Link to post Share on other sites
GT500 837 Report post Posted November 1, 2019 Amigo-A is correct that the decrypter only supports a limited number of extensions for the Paradise ransomware. Not all of them are currently decryptable, so if the decrypter says your files are not supported then I recommend making a backup of all encrypted files in case we're able to update the decrypter in the future. Quote Share this post Link to post Share on other sites
Amigo-A 135 Report post Posted November 1, 2019 15 hours ago, ivan-e said: The files were encrypted 30-31 Oct 2019 Значит это более новый вариант. Нужно как можно скорее провести поиск вредоносов среди скачанных файлов или тех, которые были запущены в последний день перед шифрованием. Можете использовать этот список директорий. Необходимо предварительно включить отображение скрытых и системных папок и файлов. Соберите найденное подозрительное в архив или пересылайте каждый на VirusTotal и копируйте из адресной строки ссылку на анализ. Вставляйте в новое сообщение. Ничего НЕ запускайте, чтобы посмотреть! Не запускайте чистильщики, пока не соберете материал. Quote Share this post Link to post Share on other sites
ivan-e 0 Report post Posted November 1, 2019 23 minutes ago, Amigo-A said: Значит это более новый вариант. Нужно как можно скорее провести поиск вредоносов среди скачанных файлов или тех, которые были запущены в последний день перед шифрованием. Можете использовать этот список директорий. Необходимо предварительно включить отображение скрытых и системных папок и файлов. Соберите найденное подозрительное в архив или пересылайте каждый на VirusTotal и копируйте из адресной строки ссылку на анализ. Вставляйте в новое сообщение. Ничего НЕ запускайте, чтобы посмотреть! Не запускайте чистильщики, пока не соберете материал. К сожалению, уже не выйдет. Восстановили работу из последней резервной копии, к счастью, вирус похерил только последнюю небольшую часть файла базы 1с, возможно там нет критичной информации. Проверяем пока что все что можем Вероятнее всего проник злоумышленник к нам на комп через RDP. Почитал новости последние, ужаснулся сколько критичных проблем постоянно обнаруживаеся в этом протоколе :(( Из подозрительного собрал вот это https://www.virustotal.com/gui/file/090dae42e26223641c3654ffb2fa848b70027c1f50ce9391aaf3cc98d8b6c967/detection Quote Share this post Link to post Share on other sites
Amigo-A 135 Report post Posted November 2, 2019 Этот файл в архиве, потому обнаружение неявное. Но это решаемо. Quote Share this post Link to post Share on other sites
