Перейти к содержанию

Есть дешифратор, но не все файлы дешифровались


Рекомендуемые сообщения

Доброго времени суток всем!

 

По ряду причин попался на удочку шифровальщика от Gold84@cock.li

Подключился он через RDP на сервер, опять же по ряду причину, частично от меня независящих.

Сожрал всё, что можно. Включая SQL базы и их копии.

Было решено рисковать и выкупить дешифратор.

Расшифровано всё, что не нужно, кроме того, что жизненно нужно, в частности одна из баз.

Дэшифратор просто пишет FAIL, когда натыкается на sql-ную базу.

Собственно сам вопрос: как ее расшифровать? сможете помочь? или может быть сам расшифровщик окажется полезен этому сообществу?

Прикрепил расшифровщик и несколько зашифрованных образцов к сообщению.

DecryptTest.zip

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

я понимаю к чему вы клоните, мол, нечего было договариваться с "террористами", но, увы, другого выбора просто не было на тот момент.

отвечаю на Ваш вопрос: злодеи крайне необщительны. И просто стали игнорировать какие-либо вопросы, после того, как выслали дешифратор.

Кстати, там была интересная такая система. Ссылка на дешифратор была одноразовая, т.е. скачав файл единожды, он удалялся с источника.

Те люди, которые скачивали файл имея активный антивирус - сразу же "теряли" дешифровщик. Однако, чтобы его скачать снова - нужно дополнительные заплатить 100$..

Ссылка на комментарий
Поделиться на другие сайты

я понимаю к чему вы клоните, мол, нечего было договариваться с "террористами"

я всего лишь о том, что только добропорядочные авторы поделок и должны оказывать поддержку по работе своего детища.

 

А вообще Ваши файлы успешно расшифровались https://www.sendspace.com/file/ytvaj3

Ссылка на комментарий
Поделиться на другие сайты

Дауж, поддержкой с их стороны вообще не пахнет.

По поводу успешно расшифрованных файлов: да, эти файлы расшифровались. С ними проблем нет. Они были лишь как образцы.

 

А сам проблемный файл вот: https://cloud.mail.ru/public/3Lmq/4tkdppMN8. Он заархивирован. В архиве 580 МБ, а при разархивации около 8-ми ГБ.

Это SQL-ный файл MDF. Я бы попробовал расшифровать резервную копию, возможно она б расшифровалась, но негодяй удалил все папки с бэкапами, и запустил перезапись свободного пространства..

 

Еще я понял, что шифруется только часть файла, остальное остается нетронутым, однако, работать это уже не будет.

Ссылка на комментарий
Поделиться на другие сайты

Похоже что-то не так с вот этим

109369310621209666497493407771647172891918301596099448534107602602636958163213279263062266133167237624302368377114371628779127782140001537086836294543950520

 

в конце файла. Или приватный ключ RSA другой для этого файла, если шифрование запускалось несколько раз.

 

Увы, тут должны помогать только сами авторы. Но с файлами такого размера они точно возиться не будут.

Ссылка на комментарий
Поделиться на другие сайты

  • 4 weeks later...

Похоже что-то не так с вот этим

109369310621209666497493407771647172891918301596099448534107602602636958163213279263062266133167237624302368377114371628779127782140001537086836294543950520

 

в конце файла. Или приватный ключ RSA другой для этого файла, если шифрование запускалось несколько раз.

 

Увы, тут должны помогать только сами авторы. Но с файлами такого размера они точно возиться не будут.

эмм.. немного провозившись с восстановлением всего что превратилось в пепел добавлю, что с с файлом такого размера они не стали бы возиться прямо-таки точно, НО, прислав им конец файла (где цифры) они сказали, что над файлом поработал другой процесс шифратора.. А так, как файл не находился в общей папке - я решил уточнить как же так вышло, на что любезно был дан ответ: в системе была найдена уязвимость, которая позволила расшаривать папки, до которой и добрались другие процессы шифратора с других компьютеров..

Но, как мне кажется, на самом деле получив админские права, злоумышленник самостоятельно расшарил папки с базами данных, предварительно остановив SQL-службу.

p.s.: теперь храним резервные копии удаленно, ну, "облака" например, и плюсом FTP-сервер на unix-системе с пользователями, которые имеют доступ только на запись новых файлов..

Кстатииии (немного не по теме), насколько FTP-сервер безопасен при условии суперсложных имен пользователей и их суперсложных паролей.. + этим именам доступны права только на запись новых файлов..

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Евгений885
      От Евгений885
      Нужна помощь в дешифрации данных
      virus.rar Addition.txt
      FRST.txt файлы.rar
    • tau34
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
×
×
  • Создать...