Шифровальщик cryakl-1-5-1-0-doubleoffset

[ipup]

Приветствую!

Заразились вот такой гадостью. 20ТБ шифровано бэкапов нет(не спрашивайте почему, подтянули под проект.). 6 серверов, один удалось расшифровать брутом вот по этой схеме 

https://www.avoid-ransomware.com/2018/09/18/decrypting-cryakl-1-5-1-0-doubleoffset/ Есть опыт у кого то, возможно какие то идеи как это делать быстрее, на один сервер ушло порядка 20 часов с одновременным запуском на 15 компьютерах. В статье есть алгоритм формирования закрытого ключа, криптографы включайтесь. На просторах больше ничего по данной теме не нашёл.

 

Сообщение от модератора Mark D. Pearlstone

Тема перемещена из раздела "Уничтожение вирусов"

Ссылка к сожалению перестала работать. Вот алгоритм:

Для дешифрования зашифрованных файлов необходим ключ дешифровки. Ключ состоит из 1536 символов или 512 чисел составляющих последовательность типа 184 192 200 208 216 224 232 240 248 001 009 017 025 033 041 049 057 065 073 081 089 097 105 113 121 129 137 145 153 т.е. имеет шаг последовательности +8 Но в ключе имеется 1 шаг последовательности равном не +8, а +9. т.е. 184 192 200 208 216 224 232 240 249 002 010 018 026 034 042 050 058 066 074 082 090 098 106 114 122 130 138 146 154 Получаем, что таких ключей существует 254 x 511 = 129794 возможных ключей. Один из таких ключей мы и будем искать.

[ipup]

Никто не сталкивался с таким что ли?

[Ummitium]

Никто не сталкивался с таким что ли?

Приветствую! Здесь в основном обычные пользователи, а не технические специалисты Лаборатории Касперского.

Насколько я знаю, если установлена антивирусная защита Лаборатории Касперского, у вас есть действующая коммерческая лицензия и при этом произошло шифрование файлов, которое антивирус пропустил, то через обращение в тех поддержку там специалисты, как правило, данные расшифровывают (им надо отправлять логи антивируса, установленного на зараженной системе, в них хранятся следы всех шифрований). И конкретно под ваш случай шифрования выдернут ключ и предоставят приватный расшифровщик, естественно, если антивирус не был выключен в момент заражения шифровальщиком..

Изменено 9 октября, 2018 пользователем Ummitium

[thyrex]

Выложите отдельными архивами по несколько файлов с каждого сервера на sendspace.com и пришлите ссылки на скачивание