Перейти к содержимому


Фотография
- - - - -

Зашифровка help_911_support@rambler.ru

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 13

#1 OFF   Leo-114

Leo-114

    Постоялец

  • Участники
  • Pip
  • Cообщений: 79

Отправлено 25 Май 2018 - 16:16

Здравствуйте.

Есть зашифрованные файлы. Есть требование злоумышленников.  

Вирус-шифровальщик, зашифровал все файлы на сервере в декабре 2017 года. В тот момент, руководство распорядилось сохранить все зашифрованные файлы, а систему на сервере в срочном порядке полностью переустановить. Сейчас, им понадобились эти файлы… Их никак, наверное, уже не расшифровать? Ведь даже не известно, что это за вирус был. И нет старой системы, где могло быть хоть что-то ценное…

Подскажите, пожалуйста, есть возможность как-то расшифровать эти файлы? Может, стоит написать в тех поддержку ЛК? (лицензии имеются).

 

Ссылка на зашифрованные файлы:

https://drive.google...70kYa_nnhYqX7GH

 

Требования злоумышленников:

 

YOUR FILES ARE STRIKED!

 

-= ALL OF YOUR FILES ARE ENCRYPTED! =-

 

Your personal identifier:1512935136

Your documents, photos, databases, save games and other important data were encrypted.

For a data recovery requires a decryptor.

To decrypt your files send an email tohelp_911_support@rambler.ru

In the reply letter you will receive a program for decryption.

After starting the decryption program, all your files will be restored.

!!! Attention !!!!!! Attention !!!!!! Attention !!!

 

***Do not attempt to uninstall the program or run antivirus software

***Attempts to decrypt files by themselves will result in the loss of your data


  • 0

#2 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 536

Награды

           

Отправлено 25 Май 2018 - 16:22

Раз лицензия есть, то создавайте запрос


  • 1
  • Спасибо x 1
  • Показать
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#3 OFF   Leo-114

Leo-114

    Постоялец

  • Участники
  • Pip
  • Cообщений: 79

Отправлено 25 Май 2018 - 17:49


Раз лицензия есть, то создавайте запрос

Только сейчас обнаружил, что не могу попасть в личный кабинет (с Украины делаю выход). Не один VPN не помогает. 


  • 0

#4 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 536

Награды

           

Отправлено 25 Май 2018 - 18:01

У Вас Striked Ransomware, но существующий дешифратор это новое расширение не видит
  • 1
  • Спасибо x 1
  • Показать
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#5 OFF   Leo-114

Leo-114

    Постоялец

  • Участники
  • Pip
  • Cообщений: 79

Отправлено 25 Май 2018 - 18:10


У Вас Striked Ransomware, но существующий дешифратор это новое расширение не видит

То есть, есть шанс, что могут помочь в тех. поддержке ЛК?

 

Звонил сейчас в тех. поддержку, сказали, что вроде проблема с доступом в My Kaspersky им известна. Когда решат, сказать не могут.


  • 0

#6 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 536

Награды

           

Отправлено 25 Май 2018 - 18:15

Речь не о дешифраторе от ЛК
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#7 OFF   Leo-114

Leo-114

    Постоялец

  • Участники
  • Pip
  • Cообщений: 79

Отправлено 25 Май 2018 - 18:20


Речь не о дешифраторе от ЛК

Можете немного подробнее. Не совсем понимаю о чём речь.

Заранее, спасибо.


  • 0

#8 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 536

Награды

           

Отправлено 25 Май 2018 - 21:25

https://id-ransomwar...ransomware.html


=======================

 

Увы, без тела вируса расшифровать невозможно


  • 1
  • Спасибо x 1
  • Показать
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#9 OFF   Leo-114

Leo-114

    Постоялец

  • Участники
  • Pip
  • Cообщений: 79

Отправлено 26 Май 2018 - 08:08


Увы, без тела вируса расшифровать невозможно

Получается, ключ расшифровки хранится на самом компьютере?

 

Посмотрел вашу информацию. Спасибо.


https://id-ransomwar...ransomware.html

Но, там нет описания какой используется алгоритм шифрования, где хранится ключ расшифровки... В Сети, информации по данному шифровальщику, сильно много не нашёл.


Сообщение отредактировал Leo-114: 26 Май 2018 - 08:09

  • 0

#10 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 536

Награды

           

Отправлено 27 Май 2018 - 08:08

Ключи забиты в сам шифратор. Их более 100 в каждой версии, причем они в каждой версии разные. Для шифрования разных файлов используются разные ключи в зависимости от длины имени файла
  • 1
  • Спасибо x 1
  • Показать
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#11 OFF   Leo-114

Leo-114

    Постоялец

  • Участники
  • Pip
  • Cообщений: 79

Отправлено 27 Май 2018 - 08:28

Ясно. Спасибо.

Жалко, что у меня нет тела шифровальщика.

 

P.S.

Примечательно, что, когда связались с злоумышленниками по почте и попросили предоставить доказательство того, что они могут расшифровать файлы, они прислали видео, где расшифровывались подобные файлы (с такой припиской эл. почты). Попросил прислать им хотя бы один пример расшифрованного своего файла. Отказались. Переписку вели на жутко ломаном английском. За расшифровку запросили 300$ (в биткойнах).


Сообщение отредактировал Leo-114: 27 Май 2018 - 08:30

  • 0

#12 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 536

Награды

           

Отправлено 27 Май 2018 - 10:05

Информация по ссылке на описание обновлена. Там даже не сам вирус, а .json нужен был. Но в связи с переустановкой системы и его тоже не найдете.
  • 1
  • Спасибо x 1
  • Показать
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#13 OFF   Leo-114

Leo-114

    Постоялец

  • Участники
  • Pip
  • Cообщений: 79

Отправлено 30 Май 2018 - 19:01

Удалось найти текстовый файл ParseLog. И ещё примеры зашифрованных файлов. Они были зашифрованы дважды.

Файл с расширением .json как утверждает админ, который удалённо обслуживает наш офис – был. Но, его он не сохранил.

Эти данные, судя по всему, всё равно не помогут в расшифровке?

Если не сложно, уточните, пожалуйста.

 

Прикрепленные файлы


  • 0

#14 OFF   Leo-114

Leo-114

    Постоялец

  • Участники
  • Pip
  • Cообщений: 79

Отправлено 14 Ноябрь 2018 - 16:47

Здравствуйте.

Хочу отписаться в своей теме о результатах по расшифровке файлов после обращения в тех. поддержку Лаб. Касперского.

Как и писал выше, часть файлов у нас были пошифрованны Striked Ransomware (с добавлением расширения «help_911_support@rambler_ru») и часть Dharma (с добавлением расширения «[decrypthelp@qq.com].java»).

 

По поводу Dharma, в тех. поддержке ЛК ответили, что Dharma использует криптографически стойкий алгоритм, поэтому расшифровка файлов, к сожалению, не представляется возможной.

 

Со вторым (StrikedRansomware), помогли расшифровать все файлы.  

Да, запрос в тех. поддержку создавал 29 мая 2018. Ответ пришёл только 26 октября 2018. И вот сегодня, он окончательно решён (первая утилита, не сразу смогла расшифровать все файлы). Кому-то, может, это и долго.

 

Пишу здесь, так как возможно, для кого-то это будет полезным.

 

Пользуясь случаем, хочу поблагодарить консультантов форума за оказываемую помощь в удалении вирусов и в расшифровке файлов. Спасибо.


  • 0
  • Спасибо x 1
  • Показать




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных