shade Trojan-Ransom.Win32.Shade.crypted000007 Расшифровка.

23 января, 2019

Добрый день!

Поймали шифровальщик через письмо.

Файлов важных на компьютере не было, по этому снесли все и работаем дальше.

Но вот на компьютере где все произошло, была подключена шара как сетевой диск, естественно куда хватило прав под пользователем, все зашифровано.

Понимаю что утилиты для расшифровки нету, но есть некоторые успехи.

Значит что имею на данный момент:

Есть зашифрованный файл, есть оригинал.

Путем долгих потуг было выяснено различие в 389 байт в конце файла.

Убираем эти 389 байт, скармливаем файл в KasperskyRannoh decryptor tool 1.12.4.13 и вуаля, получаем расшифрованный файл.

Но есть одно но, имя файла не меняется, расширение тоже не возвращается. Руками дописываем .doc, открываем. Все нормально.

Есть у кого какие идеи на счет того как автоматизировать процесс расшифровки?

Лог дешифратора и сами файлы прилагаю.

Второй файл, с 389 байтами не расшифровывает.

лог дешифратора:

12:59:44.0327 0x0a34 Processing file: \\?\C:\Users\domozhirov\Desktop\тесты\e3sNP4nEtGS+IPKMvDLdVONB+qmX6x5XFlqJxiCHj7AxenR8oGQUJ1LWysio9+4ijLCGhJeZ1OXMtBe0NhR9Yg==.EDCCF0C32115A5290ABC.crypted000007
12:59:44.0328 0x0a34 Decrypted successfully: \\?\C:\Users\domozhirov\Desktop\тесты\e3sNP4nEtGS+IPKMvDLdVONB+qmX6x5XFlqJxiCHj7AxenR8oGQUJ1LWysio9+4ijLCGhJeZ1OXMtBe0NhR9Yg==.EDCCF0C32115A5290ABC.crypted000007
12:59:44.0328 0x0a34 Processing file: \\?\C:\Users\domozhirov\Desktop\тесты\fx-p1GVsY4zlIcUwnTVUOpEc+CcluPE3ffbEGvLLhcOG1+UycSob23c+rN8K5Y99Dcfmj--2yBihJgue7LItjvvaynKAMBGap3mhFCA03RU=.EDCCF0C32115A5290ABC.crypted0000007
12:59:44.0328 0x0a34 Cannot decrypt file: \\?\C:\Users\domozhirov\Desktop\тесты\fx-p1GVsY4zlIcUwnTVUOpEc+CcluPE3ffbEGvLLhcOG1+UycSob23c+rN8K5Y99Dcfmj--2yBihJgue7LItjvvaynKAMBGap3mhFCA03RU=.EDCCF0C32115A5290ABC.crypted0000007, size too large.
12:59:44.0328 0x0a34 Cannot decrypt: \\?\C:\Users\domozhirov\Desktop\тесты\fx-p1GVsY4zlIcUwnTVUOpEc+CcluPE3ffbEGvLLhcOG1+UycSob23c+rN8K5Y99Dcfmj--2yBihJgue7LItjvvaynKAMBGap3mhFCA03RU=.EDCCF0C32115A5290ABC.crypted0000007
12:59:44.0328 0x0a34
12:59:44.0329 0x0a34 Folder scan statistic (C:\Users\domozhirov\Desktop):
12:59:44.0329 0x0a34 Processed: 234
12:59:44.0329 0x0a34 Suspicious: 0
12:59:44.0329 0x0a34 Found: 2
12:59:44.0329 0x0a34 Decrypted: 1
12:59:44.0329 0x0a34 ================================================================================
12:59:44.0329 0x0a34 Scan finished
12:59:44.0329 0x0a34 ================================================================================