Ransom.Win32.Purgen.cy или же Trojan.Encoder.11539

[Александр Ковальчук]

Приветствую, господа. 

 

Неделю назад на ПК у подруги произошел инцидент: на почту Outlook пришло письмо с вложением "ВАЖНO".

После скачивания вложения и открытия файла из него все файлы на ПК были зашифрованы с расширением ".crypt".(исключение: файлы Windows)

 

После того, как это произошло я пришел к ней, изъял жесткий диск и подключив его к своему ноутбуку прогнал все файлы через CureIT, а за тем "KVRT".

 

CureIT указал на два файла как Trojan.Encoder.11539 - https://vms.drweb.ru/virus/?_is=1&i=15333854

KVRT указал на те же два файла, однако с другой идентификацией вирусной угрозы - Ransom.Win32.Purgen.cy

 

После проверки, файл с вирусной угрозой был обезврежен и удален.

 

Теперь, когда виновник беды удален, остались файлы на расшифровку: 150 тыс. файлов или же 120 ГБ на расшифровку, которую содержат рабочую информацию, над которой девушка работала более 3.5 лет очень нужно расшифровать.

 

Уже четвертый день бьюсь над этим в поисках способа расшифровки. Бэкапов естественно нет, равно как точек восстановления. Прошу помощи!

 

Что уже было проделано:

1. Идентификация и обезвреживание шифровальщика;

2. Зашифрованный файл и записка от автора шифровальщика была залита и идентифицирована тут: https://id-ransomware.malwarehunterteam.com/identify.php?case=99d5e3ec22fee3542709172249b00a76786314b5;

3. Попытка расшифровать файл rannohdecryptor'ом: неудачно, зашифрованный файл имеет размер больше, нежели оригинал;

4. Попытка подобрать ключ расшифровки, с использованием таких утилит как decrypt_Globe, decrypt_Globe2, decrypt_Globe3, decrypt_crypboss, decrypt_Gomasom, RansomwareFileDecryptor 1.0.1667 MUI: неудачно, либо просто не хочет начинать расшифровывать, либо ключ не подбирает;

5. Попытка восстановить удаленные файлы, с использованием стороннего ПО: неудача, удаленных файлов просто не находит;

 

Некоторая полезная информация:

1. Файлы зашифрованы в формате ".crypt";

2. В каждом каталоге, где файлы были зашифрованы создается файл с расширением ".html" и названием "how_to_back_files", а так же таким содержимым:

"

<html>  <head>
    <meta charset="windows-1251">


    <title>HOW TO DECRYPT YOUR FILES</title>


    <HTA:APPLICATION
      ICON="UserAccountControlSettings.exe"
    />


    <script language="JScript">
      window.moveTo(50, 50);
      window.resizeTo(screen.width - 100, screen.height - 100);
    </script>


    <style type="text/css">


      body {
        font: 15px Tahoma, sans-serif;
        margin: 10px;
        line-height: 25px;
        background: #EDEDED;
      }


      .bold {
        font-weight: bold;
      }


      .mark {
        background: #D0D0E8;
        padding: 2px 5px;
      }


      .header {
        font-size: 30px;
        height: 50px;
        line-height: 50px;
        font-weight: bold;
        border-bottom: 10px solid #D0D0E8;
      }


      .info {
        background: #D0D0E8;
        border-left: 10px solid #00008B;
      }
      .alert {
        background: #FFE4E4;
        border-left: 10px solid #FF0000;
      }
      .private {
        border: 1px dashed #000;
        background: #FFFFEF;
      }


      .note {
        height: auto;
        padding-bottom: 1px;
        margin: 15px 0;
      }
      .note .title {
        font-weight: bold;
        text-indent: 10px;
        height: 30px;
        line-height: 30px;
        padding-top: 10px;
      }
      .note .mark {
        background: #A2A2B5;
      }
      .note ul {
        margin-top: 0;
      }
      .note pre {
        margin-left: 15px;
        line-height: 13px;
        font-size: 13px;
      }


    </style>
  </head>


  <body>
    <div class="header">All your files have been encrypted!</div>


    <div class="note private">
      <div class="title">Your personal ID</div>
      <pre>7E 0F C3 B8 3E 47 A0 A0 3F 04 A0 9F 1E A1 8D 03
EE F7 98 92 7B 92 FC 96 D0 AF 25 3E 5F 70 23 7A
C6 CF 62 7E D3 F0 AB 33 2D 36 20 F4 5C 9C D5 4A
45 22 11 9B 07 33 DB 22 D3 38 AE 3E C4 4E B0 21
46 33 8D 36 54 9E 34 D5 01 11 E5 D5 E1 64 9E A8
0F 55 30 01 C7 DD 54 CB F4 0C E1 F1 C8 12 13 22
A6 1E C7 8B 2F 7B 38 90 77 F2 3F DD 1A AF 4D C2
7E 16 82 AF 0D C7 A6 1C C3 7C 45 DE F2 BC 60 D2
36 82 12 B1 6A 2A A2 0D 47 4D FC 04 80 7F 03 34
68 CF A4 D1 C5 EA F5 21 F6 C1 D7 CA 57 25 55 86
DF 3A EF 55 F6 01 A8 EF F1 C8 AB 85 6F BE DB 1F
5D FD F7 36 70 E8 32 95 C1 F5 72 B2 B1 0F 13 1C
7E 5E A0 AA F6 5A FD 61 AB A3 06 06 01 31 98 5D
FB CC 91 EC EA B9 75 37 5F 6D 30 C9 E5 0B DE 7A
4D F4 86 00 D7 39 CF F9 29 A4 CC 11 7F 5F B0 E8
FF 01 E7 23 F9 6D EE DB 1A 83 59 1B 47 81 76 B1
</pre><!-- !!! dont changing this !!! -->
    </div>


    <div class="bold">All your files have been encrypted due to a security problem with your PC.</div>


    <div class="bold">If you want to restore them, write us to the e-mail:<font color="FF0000">overrideloop@mail-on.us</font></div>
    <div class="bold">Additional Mailing Address e-mail:<font color="FF0000">overrideloop@tuta.io</font></div>
    <div class="note info">
      <div class="title">How to obtain Bitcoins</div>
      <ul>
      <li>The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
       <li><a href="https://localbitcoins.com/buy_bitcoins">https://localbitcoins.com/buy_bitcoins</a></li>
       <li>Also you can find other places to buy Bitcoins and beginners guide here:  
       <li><a href="http://www.coindesk.com/information/how-can-i-buy-bitcoins/">http://www.coindesk.com/information/how-can-i-buy-bitcoins/</a></li>
       </ul>
    </div>


    <div class="note info">
      <div class="title">Free decryption as guarantee</div>
      <ul>
        <li>Before paying you can send to us up to 1 files for free decryption. Please note that files must NOT contain valuable information and their total size must be less than 1Mb</li>
      </ul>
    </div>


    <div class="note alert">
      <div class="title">Attention!</div>
      <ul>
        <li>Do not rename encrypted files.</li>
        <li>Do not try to decrypt your data using third party software, it may cause permanent data loss.</li>
        <li>Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. 
</li>
      </ul>
    </div>
  </body></html>

"

3. Почта авторов вымогателя: overrideloop@mail-on.us

 

 

Сейчас же мне очень нужна ваша помощь, так как ситуация очень неприятная и очень важно восстановить файлы.

 

P.S: в случае неудачи в расшифровывании файлов девушка будет уволена с работы...

 

Спасибо за внимание и ПРОШУ ПОМОЩИ! 

Забыл указать, что еще был найден Trojan.MulDrop6.39118. Так же был обнаружен и обезврежен. Однако, как я понимаю, он никакого отношения к шифрованию файлов не имеет.

P.S: отчет не делал, так как на своем ноуте угроз нет и не вижу смысла его делать, так как отчет отобразит информацию о моем ноуте, а не о прежнем зараженном ПК.

P.S.2: есть подозрение на CryptXXX. Однако rannohdecryptor ругается на несовпадение размеров оригинального и зашифрованного файла...

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Александр Ковальчук]

Ну, если это поможет:

вот

CollectionLog-2017.09.11-05.43.zip

[thyrex]

Это GlobeImposter2, для которого нет расшифровки.

 

Только зачистка следов, если в этом есть необходимость.

[Александр Ковальчук]

Является ли выходом из ситуации оплата злоумышленнику требуемой суммы и последующим восстановлением файлов?

[thyrex]

Это решать уже Вам. А дальше все зависит от порядочности злоумышленников.

[regist]

@Александр Ковальчук, если можно файл

c:\windows\inf\oem43.inf

прикрепите к сообщению.

[Александр Ковальчук]

Заплатили злоумышленнику требуемую сумму, получили дешифратор.

 

Дешифратор расшифровал все файлы.

 

Возможно, можно зареверсить исполняемый файл дешифратора, получить исходный код и написать лекарство, что бы помочь другим пользователям?

[thyrex]

Ключ для Вашего компьютера ничем не поможет другим

[regist]

@Александр Ковальчук, почему игнорируете? https://forum.kasperskyclub.ru/index.php?showtopic=56986&do=findComment&comment=839944

[Александр Ковальчук]

@Александр Ковальчук, почему игнорируете? https://forum.kasperskyclub.ru/index.php?showtopic=56986&do=findComment&comment=839944

Не заметил.

Держите.

oem43.7z

[regist]

Нужен ещё один отчёт для улучшения работы наших инструментов. Сможете показать содержимое одного ключа реестра?

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
  AddToLog(RegKeyStrParamRead('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\services\hpsrv','DisplayName'));
  SaveLog(GetAVZDirectory + 'report.txt');
 end.

Файл report.txt из папки AVZ прикрепите.

[Александр Ковальчук]

Нужен ещё один отчёт для улучшения работы наших инструментов. Сможете показать содержимое одного ключа реестра?

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
  AddToLog(RegKeyStrParamRead('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\services\hpsrv','DisplayName'));
  SaveLog(GetAVZDirectory + 'report.txt');
 end.

Файл report.txt из папки AVZ прикрепите.

 

Добрый день.

 

К сожалению, невозможно выполнить операцию, по причине установки ОСи с 0, после восстановления файлов.

Проблема была решена, просьба закрыть тему во избежании оффтопика.