Как восстановить зашифрованные файлы после Bomber (Scarab var.)

Источник заражения

При открытии документа Word, полученного через электронную почту, при использовании средств удаленного администрирования (типа TeamViewer), …

Симптомы

Все офисные документы меняют формат на .bomber.

ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!

Ваш личный идентификатор

…

Ваши документы, фотографии, базы данных и другие важные данные были зашифрованы.

Для восстановления данных необходим дешифровщик.

Чтобы получить дешифровщик, следует отправить письмо на электронный адрес soft2018@tutanota.com (soft2018@mail.ee, newsoft2018@yandex.by)

В письме укажите Ваш личный идентификатор (см. в начале данного документа).

Если связаться через почту не получается

* Зарегистрируйтесь на сайте http://bitmsg.me(сервис онлайн отправки Bitmessage)

* Напишите письмо на адрес BM-2cWp6BhKATEHEyfi1CGG4k3RuquXjaGJXB с указанием Вашей почты и

личного идентификатора

Далее необходимо оплатить стоимость дешифровщика. В ответном письме Вы получите адрес

Bitcoin-кошелька, на который необходимо выполнить перевод денежных средств и сумму платежа.

Если у Вас нет биткойнов

* Создайте кошелек Bitcoin: https://blockchain.info/ru/wallet/new

* Приобретите криптовалюту Bitcoin:

https://localbitcoin…ru/buy_bitcoins(Visa/MasterCard, QIWI Visa Wallet и др.)

* Отправьте требуемое количество BTC на указанный в письме адрес

Когда денежный перевод будет подтвержден, Вы получите дешифровщик файлов для Вашего компьютера.

После запуска программы-дешифровщика все Ваши файлы будут восстановлены.

Гарантия расшифровки файлов.

Перед оплатой вы можете отправить нам до 3х файлов для бесплатной расшифровки.

Они не должны содержать важную информацию, общий размер файлов должен быть не более 10 мб.

Внимание!

* Не пытайтесь удалить программу или запускать антивирусные средства

* Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных

* Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя

уникальный ключ шифрования

Возможность восстановления файлов после Bomber

С расшифровкой пока все плохо(

При наличии лицензии на любой из продуктов Лаборатории Касперского создайте запрос на расшифровку.

Выбирайте наиболее подходящий для Вас антивирус Лаборатории Касперского и скачивайте / приобретайте:

Скачать | Купить КАВ Скачать | Купить KIS Скачать | Купить KTS

***

Но если Bomber не удаляет теневые копии файлов после их шифрования, то существует возможность их восстановить.
Это означает, что если служба теневого копирования была включена до заражения и полное шифрование диска по какой-то причине не произошло, жертва может восстановить зашифрованные файлы, используя стандартные средства Windows или сторонние утилиты.

Вариант 1. Проверьте наличие резервных копий в Windows 7 или Windows 8, 8.1 и 10

В Windows есть встроенные инструменты для резервного копирования.

В Windows 7 резервная копия удаленного файла может быть сохранена даже в том случае, если вы ничего специально не настраивали. Для того, чтобы узнать, имеются ли предыдущие состояния той или иной папки, кликните по ней (именно по папке) правой кнопкой мыши и выберите пункт «Показать предыдущую версию».

После этого, вы сможете увидеть резервные копии папки и нажать «Открыть» для того, чтобы посмотреть ее содержимое. Возможно, вы сможете найти там важный удаленный файл.

В Windows 8, 8.1 и 10 имеется функция «История файлов», однако, если вы ее специально не включали, вам не повезло — по умолчанию эта функция отключена. Если же все-таки история файлов задействована, то просто перейдите в ту папку, где располагался файл и нажмите кнопку «Журнал» на панели.

Источник: http://remontka.pro/file-recovery-beginners/

Вариант 2. Используйте утилиту Shadow Explorer для возможного восстановления части зашифрованных Bomber файлов

Для проверки возможности восстановления зашифрованных файлов после Bomber воспользуйтесь утилитой Shadow Explorer.

Инструкция по работе с утилитой (на английском языке).

Поделитесь с друзьями!