Da_vinci_code - зашифрованные файлы расшифровывают на ура

[qwester]

Компьютер был заражен шифратором Trojan-Ransom.Win32.Shade.kzk (Trojan.Encoder.858). Затем я лечил его бесплатной утилитой от Касперского.

Пару зашифрованных файлов отправил в две разных компании, они их расшифровали достаточно быстро. Обещали подъехать и вылечить компьютер.

Подскажите пожалуйста, знающие люди, как они это сделали? Идентификатор из файла readmy.txt я им не отправлял. В конце идентификатора стоит код |0 - насколько я понял из статьи - это означает что публичный ключ был получен с C&C сервера - это сервер хакеров.

 

[mike 1]

 

Обещали подъехать и вылечить компьютер.

Подскажите пожалуйста, знающие люди, как они это сделали?

Если это контора типа Де шифро, то не обольщайтесь. Они просто посредники, которые у авторов шифровальщика выкупают ключ с дешифратором за ваши деньги + берут крутую наценку за свои услуги. 

 

https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[qwester]

это httр://dr-shifro.ru/about.htmlпредлагают заключить договор.

Получается что других способов кроме как кормить хакеров нет?

Изменено 28 октября, 2016 пользователем mike 1

[mike 1]

Можно в техподдержку обратиться, если вы лицензионный пользователь. 

[qwester]

Нашел утилиту у Касперского для дешифровки файлов ShadeDecryptor.exe

Насколько я понимаю, она берет публичные ключи, которые есть в свободном доступе. Значит есть шанс что кому то поможет.

Но она не работает с данной модификацией (код да винчи).

1) не берет ID компьютера из readme[1-10].txt, нужно менять кодировку файла на utf8

2) нужно менять раширение зашифровонного файла, чтобы утилита его увидела. 

3) даже если есть ключ, то возможно алгоритм шифрования у этой модификации трояна может быть поменян.

 

Можно ли надеятся. что проблема будет исправлена?

[mike 1]

Эта утилита вам не поможет, потому как она не поддерживает модификацию, которая ставит расширение Да Винчи. 

[qwester]

Так я не говорю, что эта утилита поможет, но надеюсь что в компании пойдут навстречу и создадут что нибудь наподобии

До меня только сейчас дошло, что идентификатор дописывается в конце имени файла -)

[mike 1]

Не будет этого. В компании не дураки сидят и прекрасно понимают, что как только появится утилита, которая будет расшифровывать модификацию Да Винчи, так сразу через пару дней появится новая модификация, которую они уже расшифровать не смогут. Поэтому если расшифровка и есть, то об этом лучше не кричать на весь зал.

 

Сообщение от модератора Mark D. Pearlstone

Меньше эмоций. Сообщение отредактировано.