trojan-ransom.win32.purgen.aho как расшифровать

[Apdate2018 0]

Добрый день! словили trojan-ransom.win32.purgen.aho все данные зашифрованы 

как расшифровать данные 

 

есть оригинал и зашифрованный файлы прилагаю

 

перепробовал все Ваши утилиты ни одна из них не произвела расшифровку (если необходимо то лицензию приобретем у Вас!)

1.zip

[Mark D. Pearlstone 1 529]

Порядок оформления запроса о помощи

[Apdate2018 0]

Шифрование было произведено на одной из моих виртуальных машин доступ к Зараженной машине могу предоставить (удаленный) (если это необходимо)

Шифрование было произведено на одной из моих виртуальных машин доступ к Зараженной машине могу предоставить (удаленный) (если это необходимо)

Извините сегодня ночью сделаю логи так как боюсь запускать виртуальную машину (

 

остановлю сперва все имеющиеся машины запущу зараженную и сделаю логи

[Apdate2018 0]

trojan-ransom.win32.purgen.aho зашифровал данные я перепробовал все Ваши утилиты ни одна из них не помогла (

шифрование было произведено на виртуальной машине (Доступ к ней могу предоставить)

два файла 1 оригинальный второй зашифрованный (лежат в этой ветке https://forum.kasperskyclub.ru/index.php?showtopic=60538)

логи приложил

что касаемо лицензии могу приобрести если это необходимо

в будущем планирую приобрести лицензии для всех своих виртуальных машин

Порядок оформления запроса о помощи

 

Сообщение от модератора Mark D. Pearlstone

Темы объединены

Читал Ваши темы нашел вот такую не веселую https://forum.kasperskyclub.ru/index.php?showtopic=60444 

здесь человек то же отхватил и файлы все с расширением как у меня 

 

мне то же не нужно уже наедятся на расшифровку?

 

зачистка следов активности мне не нужна так как сервер уже развернут другой! 

 

вопрос касательно расшифровки открыт

это файл записки вымогателя

есть еще и второй сервер его я вроде как успел отключить вовремя и по всей видимости вирус еще не удалился с него а соответсвенно можно ли на нем (если троян не удалился) найти ключ шифрования? я могу предоставить доступ в том числе и к дискам второго сервера!

не знаю поможет ли это в теле файла 

который троян создал есть такие строчки sha224WithRSAEncryption RSA with SHA-224    *†H†ч

   sha256WithRSAEncryption RSA with SHA-256    *†H†ч

CollectionLog-2018.09.25-14.32.zip

how_to_back_files.html

[Sandor 1 296]

Здравствуйте!

 

Пару зашифрованных файлов упакуйте в архив и прикрепите к следующему сообщению.

Виноват, увидел в первом сообщении.

К сожалению, это GlobeImposter 2.0 и расшифровки для него нет.

[Apdate2018 0]

вот что интересно как то был создон новый юзер в системе Название его user.имя компьютера

далее на рабочий стол данного юзер был залит файл gun.rar затем распакован из как я понял запущем по ярлыку mstsc - ярлык.lnk после началось )

 

отпишитесь (если исходные файлв=ы троянца могут чем либо помочь мне или другим бедолагам ) стоит ли их упаковать и прикрепить здесь?

 

или это все не поможет?

 

(я пока сам копаюсь в исходниках этого гада может удастся найти ключ

Здравствуйте!

Пару зашифрованных файлов упакуйте в архив и прикрепите к следующему сообщению.
Виноват, увидел в первом сообщении.
К сожалению, это GlobeImposter 2.0 и расшифровки для него нет.

исходники троянца то же не помогут? я могу приложить их или могу дать полный доступ к серверу где открыт диск С компьютера который я успел вырубить

нашел длинющий ключь но не знаю он ли это как проверить?

нашел файл (название файла DBA32093B485EAFC35989C5805FFCFF6700AEDCF8C6D540D0D9EA4DBB1063AE5)

это тело файла

A346480E2973252DD97B74FCC9E8998813E6B2D5721D69E4B76C0794641A4A3DFA809E1F44D2561F985712B956BE1A69941813F585E9D5197F4CAA5FDE428F283C21EBE40AB075C04B9ECEEE4C183CB6ECC0478F06C82A5B48B1551B5EED518A07DED07D99EA39526CA5F6ADAEB76F47CF155AF89A2FCD5635AABE16B8AD1593

93 D8 D9 89 B8 A9 72 74 BD 63 46 EC 24 98 AF F9

88 7B 88 6B 17 C3 98 BD 4E 1B 26 F4 8B 04 86 70

00 4F 19 4A 14 88 76 36 EA D6 11 4D 4F 18 A9 BC

B0 7A 43 DB 36 63 6B 26 33 DE AD 26 F6 CB 40 E4

EE A5 3B A6 75 74 93 9D 87 AD DB 2C ED B4 7A C0

69 11 CC 06 A7 7B 4C 92 21 E3 17 4C 4A B3 27 87

C1 D3 0B 5C E5 75 D9 82 CC DE 06 40 04 A3 B1 D5

85 7A A7 07 B7 3E 9E 6B 89 88 44 E6 92 61 8B F7

4C CB 08 FA 13 64 1D 04 F7 A7 35 B3 34 11 D3 97

D1 A1 10 F6 16 E0 FD 51 8D EF CF CE A6 8A 18 38

1D 92 4B 77 D3 AF A8 27 4F CB C7 4F 50 F3 80 C3

98 A5 24 B1 F3 83 53 B4 2E CC 0E 31 66 F4 49 0B

DF 29 CF 13 4E 56 E0 BF 79 87 60 EA 43 D5 75 CF

12 17 62 A4 EE 1D 23 97 4C 4B FE F3 8D 6F E9 A0

DF 14 42 0E 59 95 67 3F 1A 5C 7E 7F 34 7B EE 58

60 42 DA CA 98 D5 66 03 37 2A D5 31 67 AA A2 41

это не оно?

такой же файл лежит в корзине на первом сервере

[Sandor 1 296]

или это все не поможет?

Не поможет.

[Apdate2018 0]

ясно спасибо!

[Apdate2018 0]

А дешифратор кто делает? сам вирусописатель?

Шифровал он не весь Файл думаю часть данных поднять получится! (просто сервер который заблочили там нету бэкапов так как в тот тариф не входит резервное копирование (но все равно поднять хотелось бы)

Создал папку в ней создал пустой файл текстовой запустил троянца дождался когда появится сообщение о том что мой комп заражен 

в итоге в пустом текстовом файле появились записи

это муссор? может он не шифрует вовсе а заменяет инфу?

 

может он стирает какие то данные затем вметсо их пихает свои? 

[regist 618]

@Apdate2018,

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
И там уже уточняйте подробности.

[Apdate2018 0]

удалил вот этот файл

нашел файл (название файла DBA32093B485EAFC35989C5805FFCFF6700AEDCF8C6D540D0D9EA4DBB1063AE5)

это тело файла

A346480E2973252DD97B74FCC9E8998813E6B2D5721D69E4B76C0794641A4A3DFA809E1F44D2561F985712B956BE1A69941813F585E9D5197F4CAA5FDE428F283C21EBE40AB075C04B9ECEEE4C183CB6ECC0478F06C82A5B48B1551B5EED518A07DED07D99EA39526CA5F6ADAEB76F47CF155AF89A2FCD5635AABE16B8AD1593

93 D8 D9 89 B8 A9 72 74 BD 63 46 EC 24 98 AF F9

88 7B 88 6B 17 C3 98 BD 4E 1B 26 F4 8B 04 86 70

00 4F 19 4A 14 88 76 36 EA D6 11 4D 4F 18 A9 BC

B0 7A 43 DB 36 63 6B 26 33 DE AD 26 F6 CB 40 E4

EE A5 3B A6 75 74 93 9D 87 AD DB 2C ED B4 7A C0

69 11 CC 06 A7 7B 4C 92 21 E3 17 4C 4A B3 27 87

C1 D3 0B 5C E5 75 D9 82 CC DE 06 40 04 A3 B1 D5

85 7A A7 07 B7 3E 9E 6B 89 88 44 E6 92 61 8B F7

4C CB 08 FA 13 64 1D 04 F7 A7 35 B3 34 11 D3 97

D1 A1 10 F6 16 E0 FD 51 8D EF CF CE A6 8A 18 38

1D 92 4B 77 D3 AF A8 27 4F CB C7 4F 50 F3 80 C3

98 A5 24 B1 F3 83 53 B4 2E CC 0E 31 66 F4 49 0B

DF 29 CF 13 4E 56 E0 BF 79 87 60 EA 43 D5 75 CF

12 17 62 A4 EE 1D 23 97 4C 4B FE F3 8D 6F E9 A0

DF 14 42 0E 59 95 67 3F 1A 5C 7E 7F 34 7B EE 58

60 42 DA CA 98 D5 66 03 37 2A D5 31 67 AA A2 41

это не оно?

запустил трояна он его создал сразу поновой!

затем удалил содержимое этого файла троян отвалился

а эта ветка на что?

@Apdate2018,

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
И там уже уточняйте подробности.

[regist 618]

 

 

а эта ветка на что?

это раздел лечения от вирусов. Вы где-нибудь в название тут видело слово рассшифровка?
Или видели тут в разделе ответы от представителей ЛК ? Помогают вам обычные пользователи, которые при возможности пытаются рассшифровать своими собственными силами с помощью своих персональных ПК в своё свободное время. Как думаете у кого больше шансов сделать рассшиврофку у обычных пользователей типа вас или у сотрудников одной из крупнейших вирусных лабораторий?

[Apdate2018 0]

баловал ся баловал и добалловался 

 

запустил в очередной раз троянца пока рылся в цепочки его модулей он сам себя грохнул ))))

 

а эта ветка на что?

это раздел лечения от вирусов. Вы где-нибудь в название тут видело слово рассшифровка?
Или видели тут в разделе ответы от представителей ЛК ? Помогают вам обычные пользователи, которые при возможности пытаются рассшифровать своими собственными силами с помощью своих персональных ПК в своё свободное время. Как думаете у кого больше шансов сделать рассшиврофку у обычных пользователей типа вас или у сотрудников одной из крупнейших вирусных лабораторий?

 

да я честно говоря не надеюсь уже на расшифровку диски слил на один диск и положил его на полку будет ждать если когда либо появится дешифратор тогда и расшифрую я начал изучат этого гада как он работает и т д вот и пишу сюда о том что делаю и что нашел и т д если это вс ене может помочь тогда ладно я пошел отсюда спасибо всем!

к стати этот троянец зачем то использует dll из папки avest если таковой нету тогда заливает свой avsest

Каким декомпилятором открыть листинг этого GUN.exe?

в общем часть инфы остается этот троян шифрует заголовок файла где 200 байт затем середину файла а так же заметил что он пишет в самом начале каждого блока мусор мусор во всех файлах одинаковый 

 

так же заметил что эта зараза генерит уник ключь после каждой перезагрузки так что если перезагрузить комп и он продолжит работу тогда беда расшировывать придется азными ключами (( а вот для каких файлв а черт его знает (

 

прошелся по всем файлам у меня слава богу ключь один (сервер не перезагружался) исходник этого гада могу приложить если нужен