Перейти к содержанию

Помощь с шифровальщиком zeppelin

Rowman
 Поделиться

Рекомендуемые сообщения

Rowman

Rowman

Опубликовано
Опубликовано

Здравствуйте!

Файлы на сервере были зашифрованы zeppelin-ом. Система зависла в процессе, поэтому работу вирус не завершил. Сервер после этого не загружал, подключил HDD к другому компьютеру, и вытащил ключи из реестра вместе файлом вируса. Как я понимаю, бесплатное решение на данный момент отсутствует. Коммерческой лицензии Касперского нет. Имеет ли смысл её приобретать для обращения в техподдержку (помогут ли)?

20.zip

mike 1

mike 1

Опубликовано
Опубликовано

Здравствуйте, никаких гарантий нет в части расшифровки. 

safety

safety

Опубликовано
Опубликовано
Цитата

 

У вас может возникнуть резонный вопрос: "А можно расшифровать данные?" Ответ в данном случае: теоретически, да. В данной статье коллеги из Unit221b рассказывают, как это можно сделать. Очевидно, приватный ключ RSA‑155, расшифровать не удастся, ключ зашифрован публичным ключом RSA-2048. А вот получить его вполне возможно, только надо решить задачу факторизации, то есть разложить модуль ключа n RSA-155 на простые числа – факторы p и q:

n = p * q

Полученные факторы p и q, а также открытая экспонента e позволят получить компонент приватного ключа – закрытую экспоненту d. Не буду останавливаться на этом подробно, кому интересно, почитайте про RSA, поверьте, будет интересно. Тем более, китайские математики предрекли в ближайшие годы конец криптографической жизни RSA.

Все хорошо, но откуда взять компоненты открытого ключа RSA‑155 n и e? Оказывается, все просто! Ключ в зашифрованном виде (RC4) содержался в параметре реестре "Public Key". Если даже раздел Zeppelin удален, то ничто не помешает извлечь эти данные из журнала транзакций реестра и расшифровать (RC4).

В итоге, у коллег из Unit221b распределенный процесс факторизации занял на их вычислительном кластере всего 6 часов. Так что расшифровать можно, но это, увы, доступно не всем.

 

 

https://habr.com/ru/articles/718964/

Rowman

Rowman

Опубликовано
  • Автор
Опубликовано
5 часов назад, mike 1 сказал:

никаких гарантий нет в части расшифровки

Это понятно. Но, хотя бы, не скажут сразу, что решения нет?

 

5 часов назад, safety сказал:

https://habr.com/ru/articles/718964/

Статью видел, поэтому и вытащил ключи.

 

5 часов назад, safety сказал:

увы, доступно не всем

Спрошу по-другому: "Техподдержке Касперского доступно?"

thyrex

thyrex

Опубликовано
Опубликовано
4 часа назад, Rowman сказал:

Спрошу по-другому: "Техподдержке Касперского доступно?"

Ну так в техподдержку и обратитесь с этим вопросом. Здесь в разделе отвечают простые пользователи, не имеющие отношения к работе в компании.

Rowman

Rowman

Опубликовано
  • Автор
Опубликовано
16 часов назад, thyrex сказал:

Ну так в техподдержку и обратитесь с этим вопросом. Здесь в разделе отвечают простые пользователи, не имеющие отношения к работе в компании.

 

Не обессудьте, но я ориентировался на ответ к часто задаваемым вопросам по созданию запроса на расшифровку файлов в Лабораторию Касперского, данный уважаемым mike 1.

 

Цитата

 

Вопрос: Мои файлы зашифрованы, но у меня нет лицензии, если я куплю лицензию на Антивирус Касперского мне помогут в расшифровке моих файлов? 

Ответ: Результат не гарантирован. При этом стоит учитывать, что если Вы приобрели лицензию, а Вам не смогли помочь в техподдержке, то возврат денег за лицензию никто делать не будет. Вы можете проконсультироваться со специалистом на форуме. 

 

 

Полагал, что консультация может касаться, как раз, предварительной оценки возможностей техподдержки, пока доступа к ней нет. Если я неправильно понял подразумеваемый предмет консультации, то прошу меня извинить!

thyrex

thyrex

Опубликовано
Опубликовано

О возможностях техподдержки нас не уведомляют.

Rowman

Rowman

Опубликовано
  • Автор
Опубликовано
1 минуту назад, thyrex сказал:

О возможностях техподдержки нас не уведомляют.

Понятно. Извините ещё раз!

safety

safety

Опубликовано
Опубликовано

Rowman,

извиняться не за что.

Из статьи понятно, что процесс получения приватного ключа сложный, и требует достаточно больших временных и ресурсных затрат.

Даже если ЛК может такую операцию провести, то афишировать об этом не будет. Так что лучше напрямую обратиться в ТП, т.е. получить инфо из первых рук.

safety

safety

Опубликовано
Опубликовано
1 час назад, Rowman сказал:

Уже обратился.

Напишите нам в теме, или в ЛС по результату обращения.

Rowman

Rowman

Опубликовано
  • Автор
Опубликовано
6 минут назад, safety сказал:

Напишите нам

Договорились!

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Robo
      Шифровальщик .16C-98D-477
      Автор Robo
      На комп с общей папкой для обмена документами (serv 2008) поймал шифровальщик. В сети работало около 10 пользователей. у одного из них те же симптомы. Подозреваю, что атака на сервер была именно с него(хотя админ прав у пользователя нет), потому что остальные пользователи ничего не подцепили. Зашифровал именно 1 папку(самую нужную), хотя там было еще 2 расшаренные. Скорей всего у пользователя была в момент запуска вируса открыта расшаренная папка.
                Сам вирус имена файлов никак не изменял, размер тоже, в конце расширения файлов изменились на некий персональный ID 16C-98D-477(как я понимаю это гораздо хуже чем если бы расширение было общее как в большинстве тем) поэтому не знал что указать в названии темы. Нашел пару копий файлов на другом компьютере, которые были в папке и зашифровались, то есть могу, если надо, предоставить оригинал и зашифроввнный файл.
                Оба компа проверял 3мя антивирусами(Касперсий, др.веб, нод), которые не нашли вируса в системе.
      Шифр.rar
    • frozzen
      Шифровальщик ZEPPELIN
      Автор frozzen
      Сеть подверглась атаке шифровальщика ZEPPELIN. 
      Все файлы зашифрованы, в том числе многие системные (на некоторых компах перестали работать Офисы, слетели профили аккаунтов почтовых программ).
      Есть ли какие-нибудь инструменты для восстановления.. и надежда?
      В архиве файл с требованиями и пара зашифрованных файлов.
      files2.zip
    • zimolev
      Зашифровали сервера шифровальщик Zeppelin
      Автор zimolev
      на Добрый день. Словили шифрователь Zeppelin. Назаписка.zipчалось все фтп сервера, перекинулось на многие другие, Рабочие машины не пострадали, Все произошло в ночь с 29 на 30 июня 2025
      зашифрованныеФайлы.zip Addition.txt FRST.txt
    • Ser25
      Шифровальщик
      Автор Ser25
      Взломали пароль и зашифровали удаленный комп. Пока ничего не предпринимал
      20250507.7z
    • Николай НИК
      База 1с sql зашифрована zeppelin
      Автор Николай НИК
      Прошу помощи в расшифровке файла базы данных 1с
      файл объемный, не прикладываю...
      могу на яндекс диск выложить.
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
       
×
×
  • Создать...