Перейти к содержанию

Есть дешифратор, но не все файлы дешифровались

derxander
 Share Подписчики 0

Рекомендуемые сообщения

derxander

derxander 1

Опубликовано
Опубликовано

Доброго времени суток всем!

 

По ряду причин попался на удочку шифровальщика от Gold84@cock.li

Подключился он через RDP на сервер, опять же по ряду причину, частично от меня независящих.

Сожрал всё, что можно. Включая SQL базы и их копии.

Было решено рисковать и выкупить дешифратор.

Расшифровано всё, что не нужно, кроме того, что жизненно нужно, в частности одна из баз.

Дэшифратор просто пишет FAIL, когда натыкается на sql-ную базу.

Собственно сам вопрос: как ее расшифровать? сможете помочь? или может быть сам расшифровщик окажется полезен этому сообществу?

Прикрепил расшифровщик и несколько зашифрованных образцов к сообщению.

DecryptTest.zip

  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
derxander

derxander 1

Опубликовано
  • Автор
Опубликовано

я понимаю к чему вы клоните, мол, нечего было договариваться с "террористами", но, увы, другого выбора просто не было на тот момент.

отвечаю на Ваш вопрос: злодеи крайне необщительны. И просто стали игнорировать какие-либо вопросы, после того, как выслали дешифратор.

Кстати, там была интересная такая система. Ссылка на дешифратор была одноразовая, т.е. скачав файл единожды, он удалялся с источника.

Те люди, которые скачивали файл имея активный антивирус - сразу же "теряли" дешифровщик. Однако, чтобы его скачать снова - нужно дополнительные заплатить 100$..

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

я понимаю к чему вы клоните, мол, нечего было договариваться с "террористами"

я всего лишь о том, что только добропорядочные авторы поделок и должны оказывать поддержку по работе своего детища.

 

А вообще Ваши файлы успешно расшифровались https://www.sendspace.com/file/ytvaj3

Ссылка на сообщение
Поделиться на другие сайты
derxander

derxander 1

Опубликовано
  • Автор
Опубликовано

Дауж, поддержкой с их стороны вообще не пахнет.

По поводу успешно расшифрованных файлов: да, эти файлы расшифровались. С ними проблем нет. Они были лишь как образцы.

 

А сам проблемный файл вот: https://cloud.mail.ru/public/3Lmq/4tkdppMN8. Он заархивирован. В архиве 580 МБ, а при разархивации около 8-ми ГБ.

Это SQL-ный файл MDF. Я бы попробовал расшифровать резервную копию, возможно она б расшифровалась, но негодяй удалил все папки с бэкапами, и запустил перезапись свободного пространства..

 

Еще я понял, что шифруется только часть файла, остальное остается нетронутым, однако, работать это уже не будет.

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

Похоже что-то не так с вот этим

109369310621209666497493407771647172891918301596099448534107602602636958163213279263062266133167237624302368377114371628779127782140001537086836294543950520

 

в конце файла. Или приватный ключ RSA другой для этого файла, если шифрование запускалось несколько раз.

 

Увы, тут должны помогать только сами авторы. Но с файлами такого размера они точно возиться не будут.

Ссылка на сообщение
Поделиться на другие сайты
  • 4 weeks later...
derxander

derxander 1

Опубликовано
  • Автор
Опубликовано

Похоже что-то не так с вот этим

109369310621209666497493407771647172891918301596099448534107602602636958163213279263062266133167237624302368377114371628779127782140001537086836294543950520

 

в конце файла. Или приватный ключ RSA другой для этого файла, если шифрование запускалось несколько раз.

 

Увы, тут должны помогать только сами авторы. Но с файлами такого размера они точно возиться не будут.

эмм.. немного провозившись с восстановлением всего что превратилось в пепел добавлю, что с с файлом такого размера они не стали бы возиться прямо-таки точно, НО, прислав им конец файла (где цифры) они сказали, что над файлом поработал другой процесс шифратора.. А так, как файл не находился в общей папке - я решил уточнить как же так вышло, на что любезно был дан ответ: в системе была найдена уязвимость, которая позволила расшаривать папки, до которой и добрались другие процессы шифратора с других компьютеров..

Но, как мне кажется, на самом деле получив админские права, злоумышленник самостоятельно расшарил папки с базами данных, предварительно остановив SQL-службу.

p.s.: теперь храним резервные копии удаленно, ну, "облака" например, и плюсом FTP-сервер на unix-системе с пользователями, которые имеют доступ только на запись новых файлов..

Кстатииии (немного не по теме), насколько FTP-сервер безопасен при условии суперсложных имен пользователей и их суперсложных паролей.. + этим именам доступны права только на запись новых файлов..

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем
×
×
  • Создать...