Ransom.Win32.Purgen.cy или же Trojan.Encoder.11539

11 сентября, 2017

Приветствую, господа.

Неделю назад на ПК у подруги произошел инцидент: на почту Outlook пришло письмо с вложением "ВАЖНO".

После скачивания вложения и открытия файла из него все файлы на ПК были зашифрованы с расширением ".crypt".(исключение: файлы Windows)

После того, как это произошло я пришел к ней, изъял жесткий диск и подключив его к своему ноутбуку прогнал все файлы через CureIT, а за тем "KVRT".

CureIT указал на два файла как Trojan.Encoder.11539 - https://vms.drweb.ru/virus/?_is=1&i=15333854

KVRT указал на те же два файла, однако с другой идентификацией вирусной угрозы - Ransom.Win32.Purgen.cy

После проверки, файл с вирусной угрозой был обезврежен и удален.

Теперь, когда виновник беды удален, остались файлы на расшифровку: 150 тыс. файлов или же 120 ГБ на расшифровку, которую содержат рабочую информацию, над которой девушка работала более 3.5 лет очень нужно расшифровать.

Уже четвертый день бьюсь над этим в поисках способа расшифровки. Бэкапов естественно нет, равно как точек восстановления. Прошу помощи!

Что уже было проделано:

1. Идентификация и обезвреживание шифровальщика;

2. Зашифрованный файл и записка от автора шифровальщика была залита и идентифицирована тут: https://id-ransomware.malwarehunterteam.com/identify.php?case=99d5e3ec22fee3542709172249b00a76786314b5;

3. Попытка расшифровать файл rannohdecryptor'ом: неудачно, зашифрованный файл имеет размер больше, нежели оригинал;

4. Попытка подобрать ключ расшифровки, с использованием таких утилит как decrypt_Globe, decrypt_Globe2, decrypt_Globe3, decrypt_crypboss, decrypt_Gomasom, RansomwareFileDecryptor 1.0.1667 MUI: неудачно, либо просто не хочет начинать расшифровывать, либо ключ не подбирает;

5. Попытка восстановить удаленные файлы, с использованием стороннего ПО: неудача, удаленных файлов просто не находит;

Некоторая полезная информация:

1. Файлы зашифрованы в формате ".crypt";

2. В каждом каталоге, где файлы были зашифрованы создается файл с расширением ".html" и названием "how_to_back_files", а так же таким содержимым:

"

<html>  <head>
    <meta charset="windows-1251">


    <title>HOW TO DECRYPT YOUR FILES</title>


    <HTA:APPLICATION
      ICON="UserAccountControlSettings.exe"
    />


    <script language="JScript">
      window.moveTo(50, 50);
      window.resizeTo(screen.width - 100, screen.height - 100);
    </script>


    <style type="text/css">


      body {
        font: 15px Tahoma, sans-serif;
        margin: 10px;
        line-height: 25px;
        background: #EDEDED;
      }


      .bold {
        font-weight: bold;
      }


      .mark {
        background: #D0D0E8;
        padding: 2px 5px;
      }


      .header {
        font-size: 30px;
        height: 50px;
        line-height: 50px;
        font-weight: bold;
        border-bottom: 10px solid #D0D0E8;
      }


      .info {
        background: #D0D0E8;
        border-left: 10px solid #00008B;
      }
      .alert {
        background: #FFE4E4;
        border-left: 10px solid #FF0000;
      }
      .private {
        border: 1px dashed #000;
        background: #FFFFEF;
      }


      .note {
        height: auto;
        padding-bottom: 1px;
        margin: 15px 0;
      }
      .note .title {
        font-weight: bold;
        text-indent: 10px;
        height: 30px;
        line-height: 30px;
        padding-top: 10px;
      }
      .note .mark {
        background: #A2A2B5;
      }
      .note ul {
        margin-top: 0;
      }
      .note pre {
        margin-left: 15px;
        line-height: 13px;
        font-size: 13px;
      }


    </style>
  </head>


  <body>
    <div class="header">All your files have been encrypted!</div>


    <div class="note private">
      <div class="title">Your personal ID</div>
      <pre>7E 0F C3 B8 3E 47 A0 A0 3F 04 A0 9F 1E A1 8D 03
EE F7 98 92 7B 92 FC 96 D0 AF 25 3E 5F 70 23 7A
C6 CF 62 7E D3 F0 AB 33 2D 36 20 F4 5C 9C D5 4A
45 22 11 9B 07 33 DB 22 D3 38 AE 3E C4 4E B0 21
46 33 8D 36 54 9E 34 D5 01 11 E5 D5 E1 64 9E A8
0F 55 30 01 C7 DD 54 CB F4 0C E1 F1 C8 12 13 22
A6 1E C7 8B 2F 7B 38 90 77 F2 3F DD 1A AF 4D C2
7E 16 82 AF 0D C7 A6 1C C3 7C 45 DE F2 BC 60 D2
36 82 12 B1 6A 2A A2 0D 47 4D FC 04 80 7F 03 34
68 CF A4 D1 C5 EA F5 21 F6 C1 D7 CA 57 25 55 86
DF 3A EF 55 F6 01 A8 EF F1 C8 AB 85 6F BE DB 1F
5D FD F7 36 70 E8 32 95 C1 F5 72 B2 B1 0F 13 1C
7E 5E A0 AA F6 5A FD 61 AB A3 06 06 01 31 98 5D
FB CC 91 EC EA B9 75 37 5F 6D 30 C9 E5 0B DE 7A
4D F4 86 00 D7 39 CF F9 29 A4 CC 11 7F 5F B0 E8
FF 01 E7 23 F9 6D EE DB 1A 83 59 1B 47 81 76 B1
</pre><!-- !!! dont changing this !!! -->
    </div>


    <div class="bold">All your files have been encrypted due to a security problem with your PC.</div>


    <div class="bold">If you want to restore them, write us to the e-mail:<font color="FF0000">overrideloop@mail-on.us</font></div>
    <div class="bold">Additional Mailing Address e-mail:<font color="FF0000">overrideloop@tuta.io</font></div>
    <div class="note info">
      <div class="title">How to obtain Bitcoins</div>
      <ul>
      <li>The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
       <li><a href="https://localbitcoins.com/buy_bitcoins">https://localbitcoins.com/buy_bitcoins</a></li>
       <li>Also you can find other places to buy Bitcoins and beginners guide here:  
       <li><a href="http://www.coindesk.com/information/how-can-i-buy-bitcoins/">http://www.coindesk.com/information/how-can-i-buy-bitcoins/</a></li>
       </ul>
    </div>


    <div class="note info">
      <div class="title">Free decryption as guarantee</div>
      <ul>
        <li>Before paying you can send to us up to 1 files for free decryption. Please note that files must NOT contain valuable information and their total size must be less than 1Mb</li>
      </ul>
    </div>


    <div class="note alert">
      <div class="title">Attention!</div>
      <ul>
        <li>Do not rename encrypted files.</li>
        <li>Do not try to decrypt your data using third party software, it may cause permanent data loss.</li>
        <li>Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. 
</li>
      </ul>
    </div>
  </body></html>

"

3. Почта авторов вымогателя: overrideloop@mail-on.us

Сейчас же мне очень нужна ваша помощь, так как ситуация очень неприятная и очень важно восстановить файлы.

P.S: в случае неудачи в расшифровывании файлов девушка будет уволена с работы...

Спасибо за внимание и ПРОШУ ПОМОЩИ!

Забыл указать, что еще был найден Trojan.MulDrop6.39118. Так же был обнаружен и обезврежен. Однако, как я понимаю, он никакого отношения к шифрованию файлов не имеет.

P.S: отчет не делал, так как на своем ноуте угроз нет и не вижу смысла его делать, так как отчет отобразит информацию о моем ноуте, а не о прежнем зараженном ПК.

P.S.2: есть подозрение на CryptXXX. Однако rannohdecryptor ругается на несовпадение размеров оригинального и зашифрованного файла...

11 сентября, 2017

Порядок оформления запроса о помощи

11 сентября, 2017

Ну, если это поможет:

вот

CollectionLog-2017.09.11-05.43.zip

11 сентября, 2017

Это GlobeImposter2, для которого нет расшифровки.

Только зачистка следов, если в этом есть необходимость.

12 сентября, 2017

Является ли выходом из ситуации оплата злоумышленнику требуемой суммы и последующим восстановлением файлов?

12 сентября, 2017

Это решать уже Вам. А дальше все зависит от порядочности злоумышленников.

12 сентября, 2017

@Александр Ковальчук, если можно файл

c:\windows\inf\oem43.inf

прикрепите к сообщению.

14 сентября, 2017

Заплатили злоумышленнику требуемую сумму, получили дешифратор.

Дешифратор расшифровал все файлы.

Возможно, можно зареверсить исполняемый файл дешифратора, получить исходный код и написать лекарство, что бы помочь другим пользователям?

14 сентября, 2017

Ключ для Вашего компьютера ничем не поможет другим

14 сентября, 2017

@Александр Ковальчук, почему игнорируете? https://forum.kasperskyclub.ru/index.php?showtopic=56986&do=findComment&comment=839944

15 сентября, 2017

@Александр Ковальчук, почему игнорируете? https://forum.kasperskyclub.ru/index.php?showtopic=56986&do=findComment&comment=839944

Не заметил.

Держите.

oem43.7z

15 сентября, 2017

Нужен ещё один отчёт для улучшения работы наших инструментов. Сможете показать содержимое одного ключа реестра?

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
  AddToLog(RegKeyStrParamRead('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\services\hpsrv','DisplayName'));
  SaveLog(GetAVZDirectory + 'report.txt');
 end.

Файл report.txt из папки AVZ прикрепите.

18 апреля, 2018

Нужен ещё один отчёт для улучшения работы наших инструментов. Сможете показать содержимое одного ключа реестра?

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
begin
  AddToLog(RegKeyStrParamRead('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\services\hpsrv','DisplayName'));
  SaveLog(GetAVZDirectory + 'report.txt');
 end.
Файл report.txt из папки AVZ прикрепите.

Добрый день.

К сожалению, невозможно выполнить операцию, по причине установки ОСи с 0, после восстановления файлов.

Проблема была решена, просьба закрыть тему во избежании оффтопика.

Ransom.Win32.Purgen.cy или же Trojan.Encoder.11539

Рекомендуемые сообщения

Александр Ковальчук

Mark D. Pearlstone

Александр Ковальчук

thyrex

Александр Ковальчук

thyrex

regist

Александр Ковальчук

thyrex

regist

Александр Ковальчук

regist

Александр Ковальчук

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum