Перейти к содержанию

Вирус senator

indeedx
 Поделиться

Рекомендуемые сообщения

thyrex

thyrex

Опубликовано
Опубликовано

Похоже на то, но это все равно ничем не поможет

safety

safety

Опубликовано
Опубликовано (изменено)
12 часов назад, indeedx сказал:

думаю это сам вирус 

результат  проверки:

https://www.virustotal.com/gui/file/570cba42a0db3e4be01e41359ef78104464f21cd0c79ba1d21641f919739fe8d/detection

Сэмпл A42C7FF44C09822A.exe видимо был предназначен для другой атаки, т.е. он шифрует с идентификатором A42C7FF44C09822A, не ваш случай. Возможно планировали шифровать другое устройство, чтобы под каждый ID пользователь должен был выкупать дешифратор.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

по дешифровке файлов:

из тех файлов, то вы предоставили для расшифровки:
 

Цитата

 

Действие_txt_EMAIL=[senatorrans@gmail_com]ID=[8E9A415AB6660F85].SENATOR

Правило_системных_событии_2110_2.txt.EMAIL=[senatorrans@gmail.com]ID=[8E9A415AB6660F85].SENATOR

AnyDesk.exe.EMAIL=[senatorrans@gmail.com]ID=[8E9A415AB6660F85].SENATOR

Тариф_Mobile Taxi.txt.EMAIL=[senatorrans@gmail.com]ID=[8E9A415AB6660F85].SENATOR

 

расшифровалось два файла
 

Цитата

 

Действие_txt_EMAIL=[senatorrans@gmail_com]ID=[8E9A415AB6660F85].SENATOR

Тариф_Mobile Taxi.txt.EMAIL=[senatorrans@gmail.com]ID=[8E9A415AB6660F85].SENATOR

 

но первый файл был изменен на правильное имя:

Действие.txt.EMAIL=[senatorrans@gmail_com]ID=[8E9A415AB6660F85].SENATOR

 

т.е. шаблон имени зашифрованного файла здесь такой должен быть:

Оригинальное имя файла с расширением.EMAIL=[senatorrans@gmail_com]ID=[8E9A415AB6660F85].SENATOR

(если только в шифровальщике нет таких нюансов, что определенные файлы могут переименовываться по другому шаблону)

 

Есть предположение, что дешифратор рабочий, но что-то у вас с именами зашифрованных файлов напутано.

 

13 часов назад, thyrex сказал:

0B 00 00 00 BA 28 AE 97 11 1A 1D 05 ED E1 25 C3
BB DD 59 4B C1 53 08 0C 5B 79 2D 85 EA 2E 00 15
51 B2 D5 69 C4 86 8B 1C DE F6 42 3D 08 8F B5 70
04 30 02 CC

Может быть это оригинальное имя файла?

 

Кстати, во втором расшифрованном файле

Действие.txt.EMAIL=[senatorrans@gmail_com]ID=[8E9A415AB6660F85].SENATOR

этот блок тоже есть, (в двух других его нет)

Цитата

0B000000F19A11979BAFEF86EEB4617E918E0F73C6225F15AC0974B496912B74858BB470C59DB337DDEEB3B31C3D0B6A11955594

т.е. после 0B000000 может идти оригинальное имя файла, которое сравнивается с оригинальной частью файла в шаблоне зашифрованного файла. Если нет совпадения (или не найден этот блок) - получаем результат, что файл поврежден.

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

И кстати, провел тестовое шифрование на App.Any.Run вторым сэмплом, скачал 4 небольших файла, проверил - во всех 4 файлах есть эта сигнатура 0B 00 00 00 в конце файла.

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

увы, ни один из этих файлов не содержит маркер 0B 00 00 00, а значит, скорее всего, и не может быть расшифрованным.

thyrex

thyrex

Опубликовано
Опубликовано

Причем так повредиться файлы не могут даже при перезагрузке. Либо Вы что-то не договариваете, либо кто-то до Вас безнадежно испортил файлы.

indeedx

indeedx

Опубликовано
  • Автор
Опубликовано

была принудительное выключение компа. Думаю по этому и некоторые файлы не донца дошифровались

thyrex

thyrex

Опубликовано
Опубликовано

А то, что у некоторых файлов приписанное вирусом в имени не соответствует формату, как объясните?

 

При принудительном выключении могут повредиться файлы в небольшом количестве (равном количеству потоков обработки шифратором), но явно не подавляющее большинство.

 

В общем тут больше вопросов, чем ответов...

safety

safety

Опубликовано
Опубликовано (изменено)

@indeedx,

 

Еще раз проверил расшифровку файлов SENATOR скриптом Андрея и обратил внимание на следующий факт:

 

Его дешифратор лучше отработал чем у разработчиков SENATOR.

Если структура файла не повреждена и содержит футер с ключом, то файл расшифровывается, независимо от того как был изменен шаблон зашифрованного файла. 

Т.е., если имя не было правильно разрешено (а по умолчанию именем является подстрока до ".EMAIL="), то к существующему шаблону имени просто добавляется расширение .dec.

Дешифратор от SENATOR в этом случае ругается на повреждение файла.

 

Отсюда вывод такой:

 

Может следует проверить скрипт на важных для вас файлах? 

Вдруг структура файла не была повреждена (т.е. содержит футер с ключом после 0B 00 00 00, а некорректным является только имя зашифрованного файла.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Прохор
      Зашифровали корпоративный сервер
      Автор Прохор
      Добрый день, зашифровали корпоративные сервера с требованием выкупа. Что делать не знаем, прилагаю образец шифра и письмо мошенников.
      файлы.rar
    • mutosha
      нужна помощь в дешефровани blackFL (есть exe и строчка с паролем из power shell)
      Автор mutosha
      Добрый день.
       
      Поймали шифровальщика "blackFL", успел скопировать строчку с паролем из открытого power shell, н арабочем столе.
      "C:\Users\Администратор\Pictures>1.exe -path E:\ -pass b9ec0c541dbfd54c9af6ca6cccedaea9"
       
       
      Сам "1.exe" из ""C:\Users\Администратор\Pictures"  скопировать не успел, но нашел какой-то "1.exe" на рабочем столе, приложил.
      Прикладываю логи Farbar Recovery Scan Tool.
       
      Прикладываю ссылку на шифрованный  файл (7.5 мегабайта, а прикрепить можно только менее 5), когда-то это был mp4 ролик, ничего меньше по размеру не нашлось.
      https://transfiles.ru/j5o79
       
      Файлов с требованием у меня встречаются почему-то три с разными названиями, содержимое вроде одно.
       
      Очень надеюсь на помощь.
       
       
      1.7z Addition_01-12-2025 00.35.40.txt FRST_01-12-2025 00.31.27.txt README_BlackFL.txt lK0kDJCSf.README.txt READ_ME.txt
    • Сергей__
      BlackFL
      Автор Сергей__
      Зашифровались файлы BlackFL
      есть дешифратор?
      TNI.zip
    • Alex F
      Шифровальщик BlackFL
      Автор Alex F
      Добрый день.
       
      Прошу помощи в расшифровке файлов зашифрованных вирусом вымогателем.
       
      Архив во вложении. 
      Archive.7z
    • MBA
      Вирус шифровальщик. Файлы с расширением hype
      Автор MBA
      Добрый день. Заразились компы. Помогите с расшифровкой. Файлы зашифрованы и добавилось расширение с текстом ".EMAIL=[ranshype@gmail.com]ID=[35390D080FB82A02].hype". Архив с результатами сканирования, сообщением о выкупе и примерами зашифрованных файлов прилагаю;
      Архив.zip
×
×
  • Создать...