криптовирус tendercrisp_sandwich@aol.com [Cryakl]

[ffrog]

дети на каникулах - это жесть.

в то же время, сам виноват.

во-первых, у ребёнка аккаунт не простого пользователя, а администратора

во-вторых, не было пароля для защиты конфигурации NOD32
в-третьих, NOD32 хоть и был с актуальными базами, но сам по себе старый - версия 4.2.71

 

в результате, ребёнок скачал и запустил криптовирус, который удалил NOD32 и зашифровал больше 3 ТБ данных
в автозагрузку вирус не пролез (по крайней мере, в мою учётную запись), поэтому после ребута деятельность не продолжил

на данный момент всё пролечил, остался вопрос как расшифровать те самые 3 ТБ данных
зашифрованные файлы ещё и переименованы, расширение у всех файлов уникальное
примеры:
email-tendercrisp_sandwich@aol.com.ver-CL 1.3.1.0.id-@@@@@E8CA-73DD.randomname-VSJARIZLCTKBNJBMDUROZRIZQHYKBS.JAR.ial
email-tendercrisp_sandwich@aol.com.ver-CL 1.3.1.0.id-@@@@@E8CA-73DD.randomname-WNEPMDUMDOFRIZKBTEVOLHYKBSPASJ.ULC.ulw
email-tendercrisp_sandwich@aol.com.ver-CL 1.3.1.0.id-@@@@@E8CA-73DD.randomname-WNEVNEPGXPGXIZRCTKWNEPGSJAMDWO.KBN.evh

если открыть файл редактором, то в конце файла видим следующее:

{EncryptStart}{цифры, много, около 32КБ}{EncryptEnded}

в файле readme.txt - всем известная формулировка с предложением написать красавцам на почту tendercrisp_sandwich@aol.com чтобы получить your unique key and decode files

CollectionLog-2017.01.03-21.15.zip

Изменено 4 января, 2017 пользователем ffrog

[mike 1]

Можете начинать поднимать резервные копии.

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[ffrog]

 

 

Можете начинать поднимать резервные копии.

Если бы у меня были полные резервные копии, я бы сюда не писал и никого бы не отвлекал.

 

P.S. Похоже, не ребёнок скачал вирус, а зашли удалённо на его аккаунт через RDP (имя пользователя и пароль были простые), да ещё и порт был стандартный tcp/3389

AdwCleanerS0.txt

Изменено 4 января, 2017 пользователем ffrog

[mike 1]

Ну тогда можете забыть про свои файлы.

 

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.

Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

[ffrog]

Ну тогда можете забыть про свои файлы.

Спасибо, утешили...

я предполагал, что даже если у Вас есть дешифратор от этого CL 1.3.1.0, то всё равно без ключа расшифровать не получится

но всё же надеялся, что может есть какой-то изъян в алгоритме, благодаря которому можно расшифровать и не имея ключа

Изменено 4 января, 2017 пользователем ffrog

[mike 1]

Придумаете как быстро можно сломать 3 ключа по 4096 бит, тогда поможем. Жду лог.

[ffrog]

Придумаете как быстро можно сломать 3 ключа по 4096 бит, тогда поможем.

Угу. Спасибо за иронию. Сейчас лоб наморщу и придумаю. Bruteforce за сколько лет сломает?

 

Жду лог.

Он чист.

 

P.S.

Да, кстати, ради интереса написал красавцам, они хотят 1 BTC (по сегодняшнему курсу ~ $864)

AdwCleanerC0.txt

Изменено 9 января, 2017 пользователем ffrog

[mike 1]

Угу. Спасибо за иронию. Сейчас лоб наморщу и придумаю. Bruteforce за сколько лет сломает?

А у вас квантовый компьютер имеется для разложения трех чисел на 2 множителя по 615 десятичных знаков? Так чтобы представляли: для разложения числа из 155 знаков (RSA-512) требуется 10 суток в среднем на 24-ядерном сервере и с увеличением числа время разложения растет в геометрической прогрессии. Так что не думаю, что вообще станут заморачиваться с расшифровкой в Лаборатории Касперского.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[ffrog]

 

Угу. Спасибо за иронию. Сейчас лоб наморщу и придумаю. Bruteforce за сколько лет сломает?

А у вас квантовый компьютер имеется для разложения трех чисел на 2 множителя по 615 десятичных знаков?

Кажется, где-то был. Пойду на антресолях покопаюсь. Если не найду - может, калькулятор МК-61 подойдёт?

 

А если серьёзно, то, во-первых, могу вытащить из карантина тело вируса, а во-вторых, имеется один и тот же файл в зашифрованном и расшифрованном виде

FRST.txt

Addition.txt

Изменено 12 января, 2017 пользователем ffrog

[mike 1]

Кажется, где-то был. Пойду на антресолях покопаюсь. Если не найду - может, калькулятор МК-61 подойдёт? 

Дерзайте:

 

 

RSA1: 8218573558423868576763286162417727488729356553874144436243558385082013292018314269999051321143121835151586955166758552592175126886015333262208526809701515868703069177388605678085226984126750655824441103484117901192362044107373706299647832760503989379610949620903289961076922047235709569442148351776390771045819406380727053579573045429371687056037657759416374532634792426441798055715624726414878656648979320572088638040973173801825576261200923711609713660251520171228818322245914565214120414363524247155454086062423336157248028947150603748999307483486931045687820834658160053550185302437313510217654141746100718072807

RSA2: 437205001436530673166531887664404957623729514598032547043324493806487816361446026577236003064166731819186331585637124165446185782493072948952026240795801918744600244999334723818830272182204565549952476515828121474571842126596598944250456239483629454821603395559090025493939236917049722895060644524880583358265966954845390249653878952051623577989835005175577112265247363458369301758597810735061304650746286697306922310714255768031863446183870422616732285912784282786501377105470022873925357301968061494307039417299358802372691417937010589796477887985234705396188080181574217253421725831596987526612984119150272153433

RSA3: 11260480087583103155720837296732476647502177064403103842104256292705175166816541194018214416526728592250885693346405631902078278799322170358825905256814075226004951445616760965330764671293592279229722221601967433056071066493177969864547534596012332006358819215754736271101251324461683098880118187141136800565745273960800373595327231525759570565393452879278675052180408091404907656567863105340177427793199394758642966771898522304566530909595729469230977110341062913201724128815529651512184906671372985672962271701484395040133896425327007320261010843739806058098358668173017378730321830022707681310903828104524796878143

 

Напомню, что я жертва шифровальщика и мне требуется, чтобы Вы за 2-3 дня предоставили решение задачи. Здесь ключи в 2 раза меньше, чем в версии CL 1.3.1, но вам сойдут для факторизации.

 

Последние логи в порядке.

Изменено 12 января, 2017 пользователем mike 1