Приветствую, господа.
Неделю назад на ПК у подруги произошел инцидент: на почту Outlook пришло письмо с вложением "ВАЖНO".
После скачивания вложения и открытия файла из него все файлы на ПК были зашифрованы с расширением ".crypt".(исключение: файлы Windows)
После того, как это произошло я пришел к ней, изъял жесткий диск и подключив его к своему ноутбуку прогнал все файлы через CureIT, а за тем "KVRT".
CureIT указал на два файла как Trojan.Encoder.11539 - https://vms.drweb.ru/virus/?_is=1&i=15333854
KVRT указал на те же два файла, однако с другой идентификацией вирусной угрозы - Ransom.Win32.Purgen.cy
После проверки, файл с вирусной угрозой был обезврежен и удален.
Теперь, когда виновник беды удален, остались файлы на расшифровку: 150 тыс. файлов или же 120 ГБ на расшифровку, которую содержат рабочую информацию, над которой девушка работала более 3.5 лет очень нужно расшифровать.
Уже четвертый день бьюсь над этим в поисках способа расшифровки. Бэкапов естественно нет, равно как точек восстановления. Прошу помощи!
Что уже было проделано:
1. Идентификация и обезвреживание шифровальщика;
2. Зашифрованный файл и записка от автора шифровальщика была залита и идентифицирована тут: https://id-ransomware.malwarehunterteam.com/identify.php?case=99d5e3ec22fee3542709172249b00a76786314b5;
3. Попытка расшифровать файл rannohdecryptor'ом: неудачно, зашифрованный файл имеет размер больше, нежели оригинал;
4. Попытка подобрать ключ расшифровки, с использованием таких утилит как decrypt_Globe, decrypt_Globe2, decrypt_Globe3, decrypt_crypboss, decrypt_Gomasom, RansomwareFileDecryptor 1.0.1667 MUI: неудачно, либо просто не хочет начинать расшифровывать, либо ключ не подбирает;
5. Попытка восстановить удаленные файлы, с использованием стороннего ПО: неудача, удаленных файлов просто не находит;
Некоторая полезная информация:
1. Файлы зашифрованы в формате ".crypt";
2. В каждом каталоге, где файлы были зашифрованы создается файл с расширением ".html" и названием "how_to_back_files", а так же таким содержимым:
"
<html> <head>
<meta charset="windows-1251">
<title>HOW TO DECRYPT YOUR FILES</title>
<HTA:APPLICATION
ICON="UserAccountControlSettings.exe"
/>
<script language="JScript">
window.moveTo(50, 50);
window.resizeTo(screen.width - 100, screen.height - 100);
</script>
<style type="text/css">
body {
font: 15px Tahoma, sans-serif;
margin: 10px;
line-height: 25px;
background: #EDEDED;
}
.bold {
font-weight: bold;
}
.mark {
background: #D0D0E8;
padding: 2px 5px;
}
.header {
font-size: 30px;
height: 50px;
line-height: 50px;
font-weight: bold;
border-bottom: 10px solid #D0D0E8;
}
.info {
background: #D0D0E8;
border-left: 10px solid #00008B;
}
.alert {
background: #FFE4E4;
border-left: 10px solid #FF0000;
}
.private {
border: 1px dashed #000;
background: #FFFFEF;
}
.note {
height: auto;
padding-bottom: 1px;
margin: 15px 0;
}
.note .title {
font-weight: bold;
text-indent: 10px;
height: 30px;
line-height: 30px;
padding-top: 10px;
}
.note .mark {
background: #A2A2B5;
}
.note ul {
margin-top: 0;
}
.note pre {
margin-left: 15px;
line-height: 13px;
font-size: 13px;
}
</style>
</head>
<body>
<div class="header">All your files have been encrypted!</div>
<div class="note private">
<div class="title">Your personal ID</div>
<pre>7E 0F C3 B8 3E 47 A0 A0 3F 04 A0 9F 1E A1 8D 03
EE F7 98 92 7B 92 FC 96 D0 AF 25 3E 5F 70 23 7A
C6 CF 62 7E D3 F0 AB 33 2D 36 20 F4 5C 9C D5 4A
45 22 11 9B 07 33 DB 22 D3 38 AE 3E C4 4E B0 21
46 33 8D 36 54 9E 34 D5 01 11 E5 D5 E1 64 9E A8
0F 55 30 01 C7 DD 54 CB F4 0C E1 F1 C8 12 13 22
A6 1E C7 8B 2F 7B 38 90 77 F2 3F DD 1A AF 4D C2
7E 16 82 AF 0D C7 A6 1C C3 7C 45 DE F2 BC 60 D2
36 82 12 B1 6A 2A A2 0D 47 4D FC 04 80 7F 03 34
68 CF A4 D1 C5 EA F5 21 F6 C1 D7 CA 57 25 55 86
DF 3A EF 55 F6 01 A8 EF F1 C8 AB 85 6F BE DB 1F
5D FD F7 36 70 E8 32 95 C1 F5 72 B2 B1 0F 13 1C
7E 5E A0 AA F6 5A FD 61 AB A3 06 06 01 31 98 5D
FB CC 91 EC EA B9 75 37 5F 6D 30 C9 E5 0B DE 7A
4D F4 86 00 D7 39 CF F9 29 A4 CC 11 7F 5F B0 E8
FF 01 E7 23 F9 6D EE DB 1A 83 59 1B 47 81 76 B1
</pre><!-- !!! dont changing this !!! -->
</div>
<div class="bold">All your files have been encrypted due to a security problem with your PC.</div>
<div class="bold">If you want to restore them, write us to the e-mail:<font color="FF0000">overrideloop@mail-on.us</font></div>
<div class="bold">Additional Mailing Address e-mail:<font color="FF0000">overrideloop@tuta.io</font></div>
<div class="note info">
<div class="title">How to obtain Bitcoins</div>
<ul>
<li>The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
<li><a href="https://localbitcoins.com/buy_bitcoins">https://localbitcoins.com/buy_bitcoins</a></li>
<li>Also you can find other places to buy Bitcoins and beginners guide here:
<li><a href="http://www.coindesk.com/information/how-can-i-buy-bitcoins/">http://www.coindesk.com/information/how-can-i-buy-bitcoins/</a></li>
</ul>
</div>
<div class="note info">
<div class="title">Free decryption as guarantee</div>
<ul>
<li>Before paying you can send to us up to 1 files for free decryption. Please note that files must NOT contain valuable information and their total size must be less than 1Mb</li>
</ul>
</div>
<div class="note alert">
<div class="title">Attention!</div>
<ul>
<li>Do not rename encrypted files.</li>
<li>Do not try to decrypt your data using third party software, it may cause permanent data loss.</li>
<li>Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
</li>
</ul>
</div>
</body></html>
"
3. Почта авторов вымогателя: overrideloop@mail-on.us
Сейчас же мне очень нужна ваша помощь, так как ситуация очень неприятная и очень важно восстановить файлы.
P.S: в случае неудачи в расшифровывании файлов девушка будет уволена с работы...
Спасибо за внимание и ПРОШУ ПОМОЩИ!
Забыл указать, что еще был найден Trojan.MulDrop6.39118. Так же был обнаружен и обезврежен. Однако, как я понимаю, он никакого отношения к шифрованию файлов не имеет.
P.S: отчет не делал, так как на своем ноуте угроз нет и не вижу смысла его делать, так как отчет отобразит информацию о моем ноуте, а не о прежнем зараженном ПК.
P.S.2: есть подозрение на CryptXXX. Однако rannohdecryptor ругается на несовпадение размеров оригинального и зашифрованного файла...
От Александр Ковальчук
От stas@redlg.ru
От losy
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти