Перейти к содержанию

Trojan-Ransom.Win32.Shade.crypted000007 Расшифровка.

dmzhrv
 Поделиться

Рекомендуемые сообщения

dmzhrv

dmzhrv

Опубликовано
Опубликовано

Добрый день!

 

Поймали шифровальщик через письмо.

Файлов важных на компьютере не было, по этому снесли все и работаем дальше.

Но вот на компьютере где все произошло, была подключена шара как сетевой диск, естественно куда хватило прав под пользователем, все зашифровано.

 

Понимаю что утилиты для расшифровки нету, но есть некоторые успехи.

 

Значит что имею на данный момент:

 

Есть зашифрованный файл, есть оригинал.

Путем долгих потуг было выяснено различие в 389 байт в конце файла.

 

Убираем эти 389 байт, скармливаем файл в KasperskyRannoh decryptor tool 1.12.4.13 и вуаля, получаем расшифрованный файл.

Но есть одно но, имя файла не меняется, расширение тоже не возвращается. Руками дописываем .doc, открываем. Все нормально.

 

 

Есть у кого какие идеи на счет того как автоматизировать процесс расшифровки?

 

Лог дешифратора и сами файлы прилагаю.

 

Второй файл, с 389 байтами не расшифровывает.

 

лог дешифратора:

12:59:44.0327 0x0a34 Processing file: \\?\C:\Users\domozhirov\Desktop\тесты\e3sNP4nEtGS+IPKMvDLdVONB+qmX6x5XFlqJxiCHj7AxenR8oGQUJ1LWysio9+4ijLCGhJeZ1OXMtBe0NhR9Yg==.EDCCF0C32115A5290ABC.crypted000007
12:59:44.0328 0x0a34 Decrypted successfully: \\?\C:\Users\domozhirov\Desktop\тесты\e3sNP4nEtGS+IPKMvDLdVONB+qmX6x5XFlqJxiCHj7AxenR8oGQUJ1LWysio9+4ijLCGhJeZ1OXMtBe0NhR9Yg==.EDCCF0C32115A5290ABC.crypted000007
12:59:44.0328 0x0a34 Processing file: \\?\C:\Users\domozhirov\Desktop\тесты\fx-p1GVsY4zlIcUwnTVUOpEc+CcluPE3ffbEGvLLhcOG1+UycSob23c+rN8K5Y99Dcfmj--2yBihJgue7LItjvvaynKAMBGap3mhFCA03RU=.EDCCF0C32115A5290ABC.crypted0000007
12:59:44.0328 0x0a34 Cannot decrypt file: \\?\C:\Users\domozhirov\Desktop\тесты\fx-p1GVsY4zlIcUwnTVUOpEc+CcluPE3ffbEGvLLhcOG1+UycSob23c+rN8K5Y99Dcfmj--2yBihJgue7LItjvvaynKAMBGap3mhFCA03RU=.EDCCF0C32115A5290ABC.crypted0000007, size too large.
12:59:44.0328 0x0a34 Cannot decrypt: \\?\C:\Users\domozhirov\Desktop\тесты\fx-p1GVsY4zlIcUwnTVUOpEc+CcluPE3ffbEGvLLhcOG1+UycSob23c+rN8K5Y99Dcfmj--2yBihJgue7LItjvvaynKAMBGap3mhFCA03RU=.EDCCF0C32115A5290ABC.crypted0000007
12:59:44.0328 0x0a34
12:59:44.0329 0x0a34 Folder scan statistic (C:\Users\domozhirov\Desktop):
12:59:44.0329 0x0a34 Processed: 234
12:59:44.0329 0x0a34 Suspicious: 0
12:59:44.0329 0x0a34 Found: 2
12:59:44.0329 0x0a34 Decrypted: 1
12:59:44.0329 0x0a34 ================================================================================
12:59:44.0329 0x0a34 Scan finished
12:59:44.0329 0x0a34 ================================================================================

 

 

 

Заявление на мат. помощь.docx

файлы.zip

  • Согласен 1
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • DoctorRS
      Trojan-Ransom.Win32.Mimic
      Автор DoctorRS
      Добрый день. Зашифровали файлы Trojan-Ransom.Win32.Mimic, не работает 1С и файлы офис. Помогите пожалуйста есть ли варианты дешифрации ? 
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • Netyfrey
      Trojan-Ransom.Win32.Rakhni
      Автор Netyfrey
      Зашифрованы все файлы на ПК, к многим добавлено расширение. К архивам расширение не добавилось, но при попытке их открыть - "архив поврежден"
      fails.rar FRST.txt unlock-info.rar
    • d280486
      Trojan-Ransom.Win32.Gen.gen
      Автор d280486
      Здравствуйте, поймали Trojan-Ransom.Win32.Gen.gen, стоял ли антивирус неизвестно
    • Kdademon
      Помогите в расшифровке файлов после вируса шифровальщика Trojan-Ransom.Win32.Mimic.gen
      Автор Kdademon
      02.072025 обнаружили что на 2 компа (Windows 7) попал вирус шифровальщик 
      подключились предположительно по RDP
      зашифровали все базы 1с, бэкапы, архивы, документы
      файл с обращением от вымогателей нашли
      Kaspersky Virus Removal Tool нашел вируc HEUR:Trojan-Ransom.Win32.Mimic.gen

      Подскажите порядок действий по лечению этих компов и возможна ли дешифровка?
      Как можно обезопасится от подобного?
      Поможет ли установка Kaspersky на все компьютеры сети?

      Во вложении архив с примерами зашифрованных файлов из папки php
      Файлы постарался выбрать стандартные, общеизвестные может поможет в дешифровке
      Также приложил скрин с проверкой от Kaspersky Virus Removal Tool

      php.rar
    • foroven
      [РАСШИФРОВАНО]Шифровальщик Trojan-Ransom.Win32.Xorist.ln
      Автор foroven
      Добрый день. Схватили шифровальщик. Кажется что взломали RDP доступ т.к был открыт наружу с слабым паролем. Зашифрованные файлы имеют расширение *.er
      Файлы с обычным расширением где есть файл *.er не открываются. В основном зашифрованы базы 1С и полностью пропал из системы один диск, отображается в диспетчере дисков, как нераспределенный. Но программой восстановления удалось восстановит все файлы, но они также зашифрованы.

      Копии.7z
×
×
  • Создать...