Перейти к содержанию

Trojan-Ransom.Win32.Shade.crypted000007 Расшифровка.

dmzhrv
 Share

Рекомендуемые сообщения

dmzhrv Новичок

dmzhrv

Опубликовано
Опубликовано

Добрый день!

 

Поймали шифровальщик через письмо.

Файлов важных на компьютере не было, по этому снесли все и работаем дальше.

Но вот на компьютере где все произошло, была подключена шара как сетевой диск, естественно куда хватило прав под пользователем, все зашифровано.

 

Понимаю что утилиты для расшифровки нету, но есть некоторые успехи.

 

Значит что имею на данный момент:

 

Есть зашифрованный файл, есть оригинал.

Путем долгих потуг было выяснено различие в 389 байт в конце файла.

 

Убираем эти 389 байт, скармливаем файл в KasperskyRannoh decryptor tool 1.12.4.13 и вуаля, получаем расшифрованный файл.

Но есть одно но, имя файла не меняется, расширение тоже не возвращается. Руками дописываем .doc, открываем. Все нормально.

 

 

Есть у кого какие идеи на счет того как автоматизировать процесс расшифровки?

 

Лог дешифратора и сами файлы прилагаю.

 

Второй файл, с 389 байтами не расшифровывает.

 

лог дешифратора:

12:59:44.0327 0x0a34 Processing file: \\?\C:\Users\domozhirov\Desktop\тесты\e3sNP4nEtGS+IPKMvDLdVONB+qmX6x5XFlqJxiCHj7AxenR8oGQUJ1LWysio9+4ijLCGhJeZ1OXMtBe0NhR9Yg==.EDCCF0C32115A5290ABC.crypted000007
12:59:44.0328 0x0a34 Decrypted successfully: \\?\C:\Users\domozhirov\Desktop\тесты\e3sNP4nEtGS+IPKMvDLdVONB+qmX6x5XFlqJxiCHj7AxenR8oGQUJ1LWysio9+4ijLCGhJeZ1OXMtBe0NhR9Yg==.EDCCF0C32115A5290ABC.crypted000007
12:59:44.0328 0x0a34 Processing file: \\?\C:\Users\domozhirov\Desktop\тесты\fx-p1GVsY4zlIcUwnTVUOpEc+CcluPE3ffbEGvLLhcOG1+UycSob23c+rN8K5Y99Dcfmj--2yBihJgue7LItjvvaynKAMBGap3mhFCA03RU=.EDCCF0C32115A5290ABC.crypted0000007
12:59:44.0328 0x0a34 Cannot decrypt file: \\?\C:\Users\domozhirov\Desktop\тесты\fx-p1GVsY4zlIcUwnTVUOpEc+CcluPE3ffbEGvLLhcOG1+UycSob23c+rN8K5Y99Dcfmj--2yBihJgue7LItjvvaynKAMBGap3mhFCA03RU=.EDCCF0C32115A5290ABC.crypted0000007, size too large.
12:59:44.0328 0x0a34 Cannot decrypt: \\?\C:\Users\domozhirov\Desktop\тесты\fx-p1GVsY4zlIcUwnTVUOpEc+CcluPE3ffbEGvLLhcOG1+UycSob23c+rN8K5Y99Dcfmj--2yBihJgue7LItjvvaynKAMBGap3mhFCA03RU=.EDCCF0C32115A5290ABC.crypted0000007
12:59:44.0328 0x0a34
12:59:44.0329 0x0a34 Folder scan statistic (C:\Users\domozhirov\Desktop):
12:59:44.0329 0x0a34 Processed: 234
12:59:44.0329 0x0a34 Suspicious: 0
12:59:44.0329 0x0a34 Found: 2
12:59:44.0329 0x0a34 Decrypted: 1
12:59:44.0329 0x0a34 ================================================================================
12:59:44.0329 0x0a34 Scan finished
12:59:44.0329 0x0a34 ================================================================================

 

 

 

Заявление на мат. помощь.docx

файлы.zip

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Kirill Abdulov Новичок

Kirill Abdulov

Опубликовано
Опубликовано (изменено)

Сообщение от модератора kmscom
нарушение «Общие правила раздела "Уничтожение вирусов"».
Изменено пользователем kmscom
Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • gin
      Помощь в расшифровке файлов
      От gin
      Добрый день! Просьба помочь расшифровать файлы
      логи FRST.zip записка.zip примеры файлов.zip
    • Ivy_Sekoru
      Trojan
      От Ivy_Sekoru
      После включения ноутбука начала появляться сообщения от касперски по поводу обнаружения HEUR:Trojan.Multi.GenBadur.genw
      Выполняла лечение с перезагрузкой но после этого снова появляется тоже самое сообщение
    • Profssn
      Расшифровка decrypting@cock.li
      От Profssn
      Нужна помощь расшифровать. Поймали на другом ПК с другой windows. Windows удален. Файлы переименованы на расшерение decrypting@cock.li
      Новая сжатая ZIP-папка.zip Addition.txt FRST.txt
    • Эдуард Прокопенко
      Расшифровка шифровальщика Crylock 2.0 [honestandhope@qq.com]
      От Эдуард Прокопенко
      Здравствуйте! Почти 4 года назад словили шифровальщик и почти весь hdd с файлами попал под него. Просьба посмотреть, можно ли расшифровать. Скидываю пару тестовых файлов
      files.rar
      Addition.txt FRST.txt
    • bakanov
      HEUR:Trojan-Ransom.Win32.Mimic.gen
      От bakanov
      Добрый день , поймали шифровальщик HEUR:Trojan-Ransom.Win32.Mimic.gen. Залез судя по всему через RDP , отсканировал домен, получил доступы к администратору домена domain\administrator и начал все шифровать куда есть доступы админа. Машину вырубили, загрузился с livecd , нашел хвосты , временные файлы и т.д. Есть варианты файлов до шифровки и после шифровки , есть ли возможность найти ключик для дешифровки для конкретно это машины ?
×
×
  • Создать...