Зашифровка help_911_support@rambler.ru

[Leo-114]

Здравствуйте.

Есть зашифрованные файлы. Есть требование злоумышленников.  

Вирус-шифровальщик, зашифровал все файлы на сервере в декабре 2017 года. В тот момент, руководство распорядилось сохранить все зашифрованные файлы, а систему на сервере в срочном порядке полностью переустановить. Сейчас, им понадобились эти файлы… Их никак, наверное, уже не расшифровать? Ведь даже не известно, что это за вирус был. И нет старой системы, где могло быть хоть что-то ценное…

Подскажите, пожалуйста, есть возможность как-то расшифровать эти файлы? Может, стоит написать в тех поддержку ЛК? (лицензии имеются).

 

Ссылка на зашифрованные файлы:

https://drive.google.com/open?id=1T-apOOyUd82V2tyqY70kYa_nnhYqX7GH

 

Требования злоумышленников:

 

YOUR FILES ARE STRIKED!

 

-= ALL OF YOUR FILES ARE ENCRYPTED! =-

 

Your personal identifier:1512935136

Your documents, photos, databases, save games and other important data were encrypted.

For a data recovery requires a decryptor.

To decrypt your files send an email tohelp_911_support@rambler.ru

In the reply letter you will receive a program for decryption.

After starting the decryption program, all your files will be restored.

!!! Attention !!!!!! Attention !!!!!! Attention !!!

 

***Do not attempt to uninstall the program or run antivirus software

***Attempts to decrypt files by themselves will result in the loss of your data

[thyrex]

Раз лицензия есть, то создавайте запрос

[Leo-114]

 

 

Раз лицензия есть, то создавайте запрос

Только сейчас обнаружил, что не могу попасть в личный кабинет (с Украины делаю выход). Не один VPN не помогает. 

[thyrex]

У Вас Striked Ransomware, но существующий дешифратор это новое расширение не видит

[Leo-114]

 

 

У Вас Striked Ransomware, но существующий дешифратор это новое расширение не видит

То есть, есть шанс, что могут помочь в тех. поддержке ЛК?

 

Звонил сейчас в тех. поддержку, сказали, что вроде проблема с доступом в My Kaspersky им известна. Когда решат, сказать не могут.

[thyrex]

Речь не о дешифраторе от ЛК

[Leo-114]

 

 

Речь не о дешифраторе от ЛК

Можете немного подробнее. Не совсем понимаю о чём речь.

Заранее, спасибо.

[thyrex]

https://id-ransomware.blogspot.com.by/2017/07/striked-ransomware.html

=======================

 

Увы, без тела вируса расшифровать невозможно

[Leo-114]

 

 

Увы, без тела вируса расшифровать невозможно

Получается, ключ расшифровки хранится на самом компьютере?

 

Посмотрел вашу информацию. Спасибо.

 

https://id-ransomwar...ransomware.html

Но, там нет описания какой используется алгоритм шифрования, где хранится ключ расшифровки... В Сети, информации по данному шифровальщику, сильно много не нашёл.

Изменено 26 мая, 2018 пользователем Leo-114

[thyrex]

Ключи забиты в сам шифратор. Их более 100 в каждой версии, причем они в каждой версии разные. Для шифрования разных файлов используются разные ключи в зависимости от длины имени файла

[Leo-114]

Ясно. Спасибо.

Жалко, что у меня нет тела шифровальщика.

 

P.S.

Примечательно, что, когда связались с злоумышленниками по почте и попросили предоставить доказательство того, что они могут расшифровать файлы, они прислали видео, где расшифровывались подобные файлы (с такой припиской эл. почты). Попросил прислать им хотя бы один пример расшифрованного своего файла. Отказались. Переписку вели на жутко ломаном английском. За расшифровку запросили 300$ (в биткойнах).

Изменено 27 мая, 2018 пользователем Leo-114

[thyrex]

Информация по ссылке на описание обновлена. Там даже не сам вирус, а .json нужен был. Но в связи с переустановкой системы и его тоже не найдете.

[Leo-114]

Удалось найти текстовый файл ParseLog. И ещё примеры зашифрованных файлов. Они были зашифрованы дважды.

Файл с расширением .json как утверждает админ, который удалённо обслуживает наш офис – был. Но, его он не сохранил.

Эти данные, судя по всему, всё равно не помогут в расшифровке?

Если не сложно, уточните, пожалуйста.

 

ParseLog.zip

[Leo-114]

Здравствуйте.

Хочу отписаться в своей теме о результатах по расшифровке файлов после обращения в тех. поддержку Лаб. Касперского.

Как и писал выше, часть файлов у нас были пошифрованны Striked Ransomware (с добавлением расширения «help_911_support@rambler_ru») и часть Dharma (с добавлением расширения «[decrypthelp@qq.com].java»).

 

По поводу Dharma, в тех. поддержке ЛК ответили, что Dharma использует криптографически стойкий алгоритм, поэтому расшифровка файлов, к сожалению, не представляется возможной.

 

Со вторым (StrikedRansomware), помогли расшифровать все файлы.  

Да, запрос в тех. поддержку создавал 29 мая 2018. Ответ пришёл только 26 октября 2018. И вот сегодня, он окончательно решён (первая утилита, не сразу смогла расшифровать все файлы). Кому-то, может, это и долго.

 

Пишу здесь, так как возможно, для кого-то это будет полезным.

 

Пользуясь случаем, хочу поблагодарить консультантов форума за оказываемую помощь в удалении вирусов и в расшифровке файлов. Спасибо.