Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Вирус senator

indeedx
 Поделиться

Рекомендуемые сообщения

thyrex

thyrex

Опубликовано
Опубликовано

Похоже на то, но это все равно ничем не поможет

safety

safety

Опубликовано
Опубликовано (изменено)
12 часов назад, indeedx сказал:

думаю это сам вирус 

результат  проверки:

https://www.virustotal.com/gui/file/570cba42a0db3e4be01e41359ef78104464f21cd0c79ba1d21641f919739fe8d/detection

Сэмпл A42C7FF44C09822A.exe видимо был предназначен для другой атаки, т.е. он шифрует с идентификатором A42C7FF44C09822A, не ваш случай. Возможно планировали шифровать другое устройство, чтобы под каждый ID пользователь должен был выкупать дешифратор.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

по дешифровке файлов:

из тех файлов, то вы предоставили для расшифровки:
 

Цитата

 

Действие_txt_EMAIL=[senatorrans@gmail_com]ID=[8E9A415AB6660F85].SENATOR

Правило_системных_событии_2110_2.txt.EMAIL=[senatorrans@gmail.com]ID=[8E9A415AB6660F85].SENATOR

AnyDesk.exe.EMAIL=[senatorrans@gmail.com]ID=[8E9A415AB6660F85].SENATOR

Тариф_Mobile Taxi.txt.EMAIL=[senatorrans@gmail.com]ID=[8E9A415AB6660F85].SENATOR

 

расшифровалось два файла
 

Цитата

 

Действие_txt_EMAIL=[senatorrans@gmail_com]ID=[8E9A415AB6660F85].SENATOR

Тариф_Mobile Taxi.txt.EMAIL=[senatorrans@gmail.com]ID=[8E9A415AB6660F85].SENATOR

 

но первый файл был изменен на правильное имя:

Действие.txt.EMAIL=[senatorrans@gmail_com]ID=[8E9A415AB6660F85].SENATOR

 

т.е. шаблон имени зашифрованного файла здесь такой должен быть:

Оригинальное имя файла с расширением.EMAIL=[senatorrans@gmail_com]ID=[8E9A415AB6660F85].SENATOR

(если только в шифровальщике нет таких нюансов, что определенные файлы могут переименовываться по другому шаблону)

 

Есть предположение, что дешифратор рабочий, но что-то у вас с именами зашифрованных файлов напутано.

 

13 часов назад, thyrex сказал:

0B 00 00 00 BA 28 AE 97 11 1A 1D 05 ED E1 25 C3
BB DD 59 4B C1 53 08 0C 5B 79 2D 85 EA 2E 00 15
51 B2 D5 69 C4 86 8B 1C DE F6 42 3D 08 8F B5 70
04 30 02 CC

Может быть это оригинальное имя файла?

 

Кстати, во втором расшифрованном файле

Действие.txt.EMAIL=[senatorrans@gmail_com]ID=[8E9A415AB6660F85].SENATOR

этот блок тоже есть, (в двух других его нет)

Цитата

0B000000F19A11979BAFEF86EEB4617E918E0F73C6225F15AC0974B496912B74858BB470C59DB337DDEEB3B31C3D0B6A11955594

т.е. после 0B000000 может идти оригинальное имя файла, которое сравнивается с оригинальной частью файла в шаблоне зашифрованного файла. Если нет совпадения (или не найден этот блок) - получаем результат, что файл поврежден.

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

И кстати, провел тестовое шифрование на App.Any.Run вторым сэмплом, скачал 4 небольших файла, проверил - во всех 4 файлах есть эта сигнатура 0B 00 00 00 в конце файла.

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

увы, ни один из этих файлов не содержит маркер 0B 00 00 00, а значит, скорее всего, и не может быть расшифрованным.

thyrex

thyrex

Опубликовано
Опубликовано

Причем так повредиться файлы не могут даже при перезагрузке. Либо Вы что-то не договариваете, либо кто-то до Вас безнадежно испортил файлы.

indeedx

indeedx

Опубликовано
  • Автор
Опубликовано

была принудительное выключение компа. Думаю по этому и некоторые файлы не донца дошифровались

thyrex

thyrex

Опубликовано
Опубликовано

А то, что у некоторых файлов приписанное вирусом в имени не соответствует формату, как объясните?

 

При принудительном выключении могут повредиться файлы в небольшом количестве (равном количеству потоков обработки шифратором), но явно не подавляющее большинство.

 

В общем тут больше вопросов, чем ответов...

safety

safety

Опубликовано
Опубликовано (изменено)

@indeedx,

 

Еще раз проверил расшифровку файлов SENATOR скриптом Андрея и обратил внимание на следующий факт:

 

Его дешифратор лучше отработал чем у разработчиков SENATOR.

Если структура файла не повреждена и содержит футер с ключом, то файл расшифровывается, независимо от того как был изменен шаблон зашифрованного файла. 

Т.е., если имя не было правильно разрешено (а по умолчанию именем является подстрока до ".EMAIL="), то к существующему шаблону имени просто добавляется расширение .dec.

Дешифратор от SENATOR в этом случае ругается на повреждение файла.

 

Отсюда вывод такой:

 

Может следует проверить скрипт на важных для вас файлах? 

Вдруг структура файла не была повреждена (т.е. содержит футер с ключом после 0B 00 00 00, а некорректным является только имя зашифрованного файла.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Дмитрий ddw
      Шифровальщик зашифровал все файлы сервера
      Автор Дмитрий ddw
      Добрый день! Столкнулся с шифровальщиком. Зашифровались все файлы на сервере. ПОмогите с расшифровкой.
      Spf Ransmoware.txt sfr_sert_prod.cer.EMAIL=[owndecrypt@gmail.com]ID=[16E43E4BAEAA08AF].rar
    • gfond
      BlackFL зашифровал файловый сервер
      Автор gfond
      Здравствуйте. Зашифровали файлы, посмотрите пожалуйста что можно предпринять.
      Заражены в локалке два компьютера одновременно. Рабочая станция послужила источником заражения файлсервера под управлением Win10Pro. 
       Файлсервер после заражения перезагружался несколько раз, файлы вирусы касперским помещены в карантин(могу предоставить), однако шифрование произошло.
      Ниже логи согласно инструкции с файлсервера
       
      Docs_plus_redmeBlackField.zip FRST.txt Addition.txt
    • v0ster
      BlackFL зашифровали файлы
      Автор v0ster
      Здравствуйте. Зашифровали файлы, посмотрите пжлста что можно предпринять.
      Desktop.rar FRST.txt Addition.txt
    • Андрей Ф
      помогите понят откуда приешл шифровальщик и можно ли расшифровать BlackField3
      Автор Андрей Ф
      Здравствуйте, дня 4 назад злоумышленники проникли в сеть, зашифровали все сервера ( даже с бэкапами) и пару рабочих станций. расширение файлов BlackFL3
      FRST.txt
      Addition.txt files.zip
    • galant
      Шифровальщик BlackFL
      Автор galant
      Добрый день, сегодня ночью зашифровали все сервера и виртуалки, а точнее диски где они находились, помогите, бекап, который был не в домене тоже зашифрован. Сеть отключил, где то эта фигня гуляет, т.к. локальный ПК пока один из 20 словил у меня на глазах тот же шифровальщик.BlackFL.zip
      ПОМОГИТЕ! я видимо уволен (
      BlackField-ReadMe.txt
      На сервере стоял лицензионный Касперский, 3 раза уде проверил все диски, ничего не находит!
      в зип архиве шифрованные файлы и требование, требование так же приложил отдельно
×
×
  • Создать...