Перейти к содержанию
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

Trojan-Ransom.Win32.Shade.crypted000007 Расшифровка.

dmzhrv
 Поделиться

Рекомендуемые сообщения

dmzhrv Новичок

dmzhrv

Опубликовано
Опубликовано

Добрый день!

 

Поймали шифровальщик через письмо.

Файлов важных на компьютере не было, по этому снесли все и работаем дальше.

Но вот на компьютере где все произошло, была подключена шара как сетевой диск, естественно куда хватило прав под пользователем, все зашифровано.

 

Понимаю что утилиты для расшифровки нету, но есть некоторые успехи.

 

Значит что имею на данный момент:

 

Есть зашифрованный файл, есть оригинал.

Путем долгих потуг было выяснено различие в 389 байт в конце файла.

 

Убираем эти 389 байт, скармливаем файл в KasperskyRannoh decryptor tool 1.12.4.13 и вуаля, получаем расшифрованный файл.

Но есть одно но, имя файла не меняется, расширение тоже не возвращается. Руками дописываем .doc, открываем. Все нормально.

 

 

Есть у кого какие идеи на счет того как автоматизировать процесс расшифровки?

 

Лог дешифратора и сами файлы прилагаю.

 

Второй файл, с 389 байтами не расшифровывает.

 

лог дешифратора:

12:59:44.0327 0x0a34 Processing file: \\?\C:\Users\domozhirov\Desktop\тесты\e3sNP4nEtGS+IPKMvDLdVONB+qmX6x5XFlqJxiCHj7AxenR8oGQUJ1LWysio9+4ijLCGhJeZ1OXMtBe0NhR9Yg==.EDCCF0C32115A5290ABC.crypted000007
12:59:44.0328 0x0a34 Decrypted successfully: \\?\C:\Users\domozhirov\Desktop\тесты\e3sNP4nEtGS+IPKMvDLdVONB+qmX6x5XFlqJxiCHj7AxenR8oGQUJ1LWysio9+4ijLCGhJeZ1OXMtBe0NhR9Yg==.EDCCF0C32115A5290ABC.crypted000007
12:59:44.0328 0x0a34 Processing file: \\?\C:\Users\domozhirov\Desktop\тесты\fx-p1GVsY4zlIcUwnTVUOpEc+CcluPE3ffbEGvLLhcOG1+UycSob23c+rN8K5Y99Dcfmj--2yBihJgue7LItjvvaynKAMBGap3mhFCA03RU=.EDCCF0C32115A5290ABC.crypted0000007
12:59:44.0328 0x0a34 Cannot decrypt file: \\?\C:\Users\domozhirov\Desktop\тесты\fx-p1GVsY4zlIcUwnTVUOpEc+CcluPE3ffbEGvLLhcOG1+UycSob23c+rN8K5Y99Dcfmj--2yBihJgue7LItjvvaynKAMBGap3mhFCA03RU=.EDCCF0C32115A5290ABC.crypted0000007, size too large.
12:59:44.0328 0x0a34 Cannot decrypt: \\?\C:\Users\domozhirov\Desktop\тесты\fx-p1GVsY4zlIcUwnTVUOpEc+CcluPE3ffbEGvLLhcOG1+UycSob23c+rN8K5Y99Dcfmj--2yBihJgue7LItjvvaynKAMBGap3mhFCA03RU=.EDCCF0C32115A5290ABC.crypted0000007
12:59:44.0328 0x0a34
12:59:44.0329 0x0a34 Folder scan statistic (C:\Users\domozhirov\Desktop):
12:59:44.0329 0x0a34 Processed: 234
12:59:44.0329 0x0a34 Suspicious: 0
12:59:44.0329 0x0a34 Found: 2
12:59:44.0329 0x0a34 Decrypted: 1
12:59:44.0329 0x0a34 ================================================================================
12:59:44.0329 0x0a34 Scan finished
12:59:44.0329 0x0a34 ================================================================================

 

 

 

Заявление на мат. помощь.docx

файлы.zip

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Kirill Abdulov Новичок

Kirill Abdulov

Опубликовано
Опубликовано (изменено)

Сообщение от модератора kmscom
нарушение «Общие правила раздела "Уничтожение вирусов"».
Изменено пользователем kmscom
Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • DoctorRS
      Trojan-Ransom.Win32.Mimic
      Автор DoctorRS
      Добрый день. Зашифровали файлы Trojan-Ransom.Win32.Mimic, не работает 1С и файлы офис. Помогите пожалуйста есть ли варианты дешифрации ? 
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • foroven
      [РАСШИФРОВАНО]Шифровальщик Trojan-Ransom.Win32.Xorist.ln
      Автор foroven
      Добрый день. Схватили шифровальщик. Кажется что взломали RDP доступ т.к был открыт наружу с слабым паролем. Зашифрованные файлы имеют расширение *.er
      Файлы с обычным расширением где есть файл *.er не открываются. В основном зашифрованы базы 1С и полностью пропал из системы один диск, отображается в диспетчере дисков, как нераспределенный. Но программой восстановления удалось восстановит все файлы, но они также зашифрованы.

      Копии.7z
    • nikolai.ilyin
      Ransom.Win32.Generic
      Автор nikolai.ilyin
      Зашифровали всю сеть 
      virus.7z Addition.txt
    • slavel94
      Расшифровка kwx8
      Автор slavel94
      Здравствуйте! Словил шифроватор Mimik, в итоге файлы зашифровались с расширением kwx8. Помогите, пожалуйста
      report_2025.03.23_17.06.42.klr.rar
    • Равиль.М
      Помощь в расшифровке файлов
      Автор Равиль.М
      Добрый день. Поймали вирус-шифровальщик, поразил весь файловый серв. Все началось после того как подключились через Anydesk. На двух пользовательских компьютерах замещены вирусы после проверки KES. Лог файл приложил
      FRST.rar KVRT2020_Data.rar Обнаружено KES.rar Файлы шифрованные.rar
×
×
  • Создать...