Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Da_vinci_code - зашифрованные файлы расшифровывают на ура

qwester
 Поделиться

Рекомендуемые сообщения

qwester

qwester

Опубликовано
Опубликовано

Компьютер был заражен шифратором Trojan-Ransom.Win32.Shade.kzk (Trojan.Encoder.858). Затем я лечил его бесплатной утилитой от Касперского.

Пару зашифрованных файлов отправил в две разных компании, они их расшифровали достаточно быстро. Обещали подъехать и вылечить компьютер.

Подскажите пожалуйста, знающие люди, как они это сделали? Идентификатор из файла readmy.txt я им не отправлял. В конце идентификатора стоит код |0 - насколько я понял из статьи - это означает что публичный ключ был получен с C&C сервера - это сервер хакеров.

 

mike 1

mike 1

Опубликовано
Опубликовано

 

Обещали подъехать и вылечить компьютер.

Подскажите пожалуйста, знающие люди, как они это сделали?

Если это контора типа Де шифро, то не обольщайтесь. Они просто посредники, которые у авторов шифровальщика выкупают ключ с дешифратором за ваши деньги + берут крутую наценку за свои услуги. 

 

https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

  • Согласен 1
qwester

qwester

Опубликовано
  • Автор
Опубликовано (изменено)

это httр://dr-shifro.ru/about.htmlпредлагают заключить договор.

Получается что других способов кроме как кормить хакеров нет?

Изменено пользователем mike 1
mike 1

mike 1

Опубликовано
Опубликовано

Можно в техподдержку обратиться, если вы лицензионный пользователь. 

qwester

qwester

Опубликовано
  • Автор
Опубликовано

Нашел утилиту у Касперского для дешифровки файлов ShadeDecryptor.exe

Насколько я понимаю, она берет публичные ключи, которые есть в свободном доступе. Значит есть шанс что кому то поможет.

Но она не работает с данной модификацией (код да винчи).

1) не берет ID компьютера из readme[1-10].txt, нужно менять кодировку файла на utf8

2) нужно менять раширение зашифровонного файла, чтобы утилита его увидела. 

3) даже если есть ключ, то возможно алгоритм шифрования у этой модификации трояна может быть поменян.

 

Можно ли надеятся. что проблема будет исправлена?

mike 1

mike 1

Опубликовано
Опубликовано

Эта утилита вам не поможет, потому как она не поддерживает модификацию, которая ставит расширение Да Винчи. 

  • Согласен 1
qwester

qwester

Опубликовано
  • Автор
Опубликовано

Так я не говорю, что эта утилита поможет, но надеюсь что в компании пойдут навстречу и создадут что нибудь наподобии


До меня только сейчас дошло, что идентификатор дописывается в конце имени файла -)

mike 1

mike 1

Опубликовано
Опубликовано

Не будет этого. В компании не дураки сидят и прекрасно понимают, что как только появится утилита, которая будет расшифровывать модификацию Да Винчи, так сразу через пару дней появится новая модификация, которую они уже расшифровать не смогут. Поэтому если расшифровка и есть, то об этом лучше не кричать на весь зал.

 

Сообщение от модератора Mark D. Pearlstone
Меньше эмоций. Сообщение отредактировано.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Arachnid
      da_vinci_code
      Автор Arachnid
      К сожалению комп не мой, поэтому сказать как и когда именно были зашифрованы файлы не могу, но факт как говорится на лицо, фотографии были зашифрованы кодом да винчи. Отправляю лог и письмо вымогателя.
      CollectionLog-2016.10.08-13.52.zip
      README1.txt
×
×
  • Создать...