Перейти к содержанию

Помогите расшифровать (на основе текстового файла) - активация 9 августа

Алексей Тяжельников

Автор Алексей Тяжельников
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Алексей Тяжельников

Алексей Тяжельников

Опубликовано
Опубликовано

Был в отпуске.
В мое отсутствие на компьютере запустили вирус.
9 августа 2016 вирус зашифровал кучу файлов.

Переустановил систему на новый диск.
Но остались ОЧЕНЬ ВАЖНЫЕ данные, которые не удалось вытащить из архивов.

В качестве образца предлагаю текстовый файл index.html (в зашифрованном и оригинальном виде)
Оба файла по ссылке в zip-архиве 
https://drive.google.com/file/d/0B__...ew?usp=sharing

Может на основе текстового файла легче найти ключ для расшифровки?
Помогите расшифровать!!!
Готов даже мотивировать!


если посмотреть эти текстовые файлы - видно что кодированию подвергнуты только первая строка начальных символов

Ссылка на комментарий
Поделиться на другие сайты
Алексей Тяжельников

Алексей Тяжельников

Опубликовано
  • Автор
Опубликовано

Спасибо, я посмотрел эту информацию. ОС новая, винт новый - сборщик логов разве поможет?
Или нужно винду со старой системы запустить?

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Пришлите, если возможно, пару шифрованный-нешифрованный какого-либо doc (docx) файла. Если не найдется пары, то хотя бы образец такого шифрованного файла

Ссылка на комментарий
Поделиться на другие сайты
Алексей Тяжельников

Алексей Тяжельников

Опубликовано
  • Автор
Опубликовано

Пришлите, если возможно, пару шифрованный-нешифрованный какого-либо doc (docx) файла. Если не найдется пары, то хотя бы образец такого шифрованного файла

есть пара doc-файлов (оригинал и зашифрованный)

https://drive.google.com/file/d/0B__3RAjPDIsfbEtkOTY4Z0k3Rmc/view?usp=sharing

 

есть пара текстовых файлов index.html (оригинал и зашифрованный)

https://drive.google.com/file/d/0B__3RAjPDIsfTlRzV0tIYVh5bk0/view?usp=sharing

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Похоже это дешифруется.

 

Проблема только в том, что неизвестны все подлежащие шифрованию типы файлов. Можете их отсеять как-нибудь?

Ссылка на комментарий
Поделиться на другие сайты
Алексей Тяжельников

Алексей Тяжельников

Опубликовано
  • Автор
Опубликовано (изменено)

все зашифрованные файлы  можно отделить одним критерием - у них одна дата изменения 
09.08.2016
так как я был в отпуске - никаких других изменений не было

 

я сделал каталог Old (где лежат файлы (каталоги) затронутые этим шифратором)
 

фактически затронуты оказались файлы с расширением: tar, rar, avi, mp4, doc, docx, xls, xlsx, pdf, txt, png
это основные расширения, которые я видел
если критично могу более полный список расширений привести

Изменено пользователем Алексей Тяжельников
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Постараюсь написать дешифратор до завтра

 

============

 

Дешифратор готов, но все шифрованные файлы придется предварительно копировать в одну папку. Для написания более серьезного дешифратора (в дальнейшем), мне необходимо знать все типы подверженных шифрованию файлов. Будет неплохо, если шифратор (или ссылка на его скачивание) сохранилась где-нибудь в почте (это наиболее вероятный путь попадания его на компьютер-жертву)

Ссылка на комментарий
Поделиться на другие сайты
Алексей Тяжельников

Алексей Тяжельников

Опубликовано
  • Автор
Опубликовано (изменено)

круто, какие условия его получения?

к вышеназванным расширениям, можно добавить .gif, .jpeg, .vob, .xml, .flv, *.tif, .php

 

Можно ли сделать так, чтобы дешифратор просматривал рекурсивно файловую структуру (или папку) и в случае если дата совпадает с 09.08.2016 пытался применить алгоритм дешифрации, но файл оставался на месте в своем каталоге

P.S.
каким то образом злоумышленник смог зайти как удаленный пользователь с доменным логином в локальной сети смог зайти на компьютер, запустил под своим профилем hash bitcoin miner

судя по тому что в профили лежит архив - есть предположение, что он же качнул (случайно возможно) троян - и этот троян привел к шифрации всех файцов, которые лежали вне профиля, в определенный день 09.08.2016
на страром жестком диске я ничего по моему не удалял - могу какие-то диагностические (собирающие логи) программы запустить - если это поможет выцепить 
могу под teamviewer запустить - чтобы вы могли увидеть какие-то специфические увидеть отметки?

Изменено пользователем Алексей Тяжельников
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Сейчас времени на реализацию нормальных проверок по сигнатурам (по дате тоже, тем более это не универсальный вариант) катастрофически нет (начало учебного года, масса необходимых к заполнению бумажек и т.д.).

 

Мне хотелось бы получить от Вас примеры avi, tar, tif, php, vob, flv и тот архив, который оставил после себя злодей. Все это добро выложите одним архивом и пришлите ссылку мне в ЛС. В ответ получите имеющуюся версию дешифратора

Ссылка на комментарий
Поделиться на другие сайты
Алексей Тяжельников

Алексей Тяжельников

Опубликовано
  • Автор
Опубликовано

а данный дешифратор можно организовать в виде командного файла - где на входе поступает файл с полным путем?
я бы может быть попробывал бы написать бат-файл - и в нем вызывал бы дешифратор для нужных файлов!
 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Drozdovanton
      Помогите расшифровать данные cry lock
      Автор Drozdovanton
      Помогите пожалуйста расшифровать данные, прикрепить данные не могу так как ограничение по расширению файлов
    • Evgeniy Alekseevich
      Файлы зашифрованы, расширение файлов helpo2, как расшифровать ?
      Автор Evgeniy Alekseevich
      05 августа , судя по датам файлов, на нашем сервере был запущен шифровальщик, кем и как пока выясняем, но сегодня утром я обнаружил зашифрованы практически все файлы.
      Файлы имеют расширение helpo2.
      Может кто сталкивался и сможет помочь ?
      Связались с вымогателями, они для примера расшифровали два файла, я вложил в архив два зашифрованных и они же расшифрованные . Там же письмо, которое они оставили.
      Также прикладываю файлы от  Farbar Recovery Scan Tool.
      Может кто сможет помочь....
      С Уважением, Евгений.
       
       
      Addition.txt FRST.txt НаборФайлов5шт.zip
    • вася1525
      Уничтожает все текстовые и файлы и др.
      Автор вася1525
      Прошу помощь у спецов.Вирус переделал все тхт файлы и много чего другого.
      virusinfo_syscheck.zip
    • Nik10
      Возможно ли расшифровать зашифрованные файлы
      Автор Nik10
      Возможно ли расшифровать зашифрованые файлы. Предположительно mimic

      В архивы 2 экзэмпляра зашифрованных файла, результаты утилиты FRST и записка о выкупе. Оригинал ВПО не найден.
      ransomware_1c.zip
    • Kdademon
      Помогите в расшифровке файлов после вируса шифровальщика Trojan-Ransom.Win32.Mimic.gen
      Автор Kdademon
      02.072025 обнаружили что на 2 компа (Windows 7) попал вирус шифровальщик 
      подключились предположительно по RDP
      зашифровали все базы 1с, бэкапы, архивы, документы
      файл с обращением от вымогателей нашли
      Kaspersky Virus Removal Tool нашел вируc HEUR:Trojan-Ransom.Win32.Mimic.gen

      Подскажите порядок действий по лечению этих компов и возможна ли дешифровка?
      Как можно обезопасится от подобного?
      Поможет ли установка Kaspersky на все компьютеры сети?

      Во вложении архив с примерами зашифрованных файлов из папки php
      Файлы постарался выбрать стандартные, общеизвестные может поможет в дешифровке
      Также приложил скрин с проверкой от Kaspersky Virus Removal Tool

      php.rar
×
×
  • Создать...