scarab Есть дешифратор, но не все файлы дешифровались

[derxander]

Доброго времени суток всем!

 

По ряду причин попался на удочку шифровальщика от Gold84@cock.li

Подключился он через RDP на сервер, опять же по ряду причину, частично от меня независящих.

Сожрал всё, что можно. Включая SQL базы и их копии.

Было решено рисковать и выкупить дешифратор.

Расшифровано всё, что не нужно, кроме того, что жизненно нужно, в частности одна из баз.

Дэшифратор просто пишет FAIL, когда натыкается на sql-ную базу.

Собственно сам вопрос: как ее расшифровать? сможете помочь? или может быть сам расшифровщик окажется полезен этому сообществу?

Прикрепил расшифровщик и несколько зашифрованных образцов к сообщению.

DecryptTest.zip

[thyrex]

А к самим злодеям почему не обратились? Это же их дешифратор не работает должным образом.

[derxander]

я понимаю к чему вы клоните, мол, нечего было договариваться с "террористами", но, увы, другого выбора просто не было на тот момент.

отвечаю на Ваш вопрос: злодеи крайне необщительны. И просто стали игнорировать какие-либо вопросы, после того, как выслали дешифратор.

Кстати, там была интересная такая система. Ссылка на дешифратор была одноразовая, т.е. скачав файл единожды, он удалялся с источника.

Те люди, которые скачивали файл имея активный антивирус - сразу же "теряли" дешифровщик. Однако, чтобы его скачать снова - нужно дополнительные заплатить 100$..

[thyrex]

я понимаю к чему вы клоните, мол, нечего было договариваться с "террористами"

я всего лишь о том, что только добропорядочные авторы поделок и должны оказывать поддержку по работе своего детища.

 

А вообще Ваши файлы успешно расшифровались https://www.sendspace.com/file/ytvaj3

[derxander]

Дауж, поддержкой с их стороны вообще не пахнет.

По поводу успешно расшифрованных файлов: да, эти файлы расшифровались. С ними проблем нет. Они были лишь как образцы.

 

А сам проблемный файл вот: https://cloud.mail.ru/public/3Lmq/4tkdppMN8. Он заархивирован. В архиве 580 МБ, а при разархивации около 8-ми ГБ.

Это SQL-ный файл MDF. Я бы попробовал расшифровать резервную копию, возможно она б расшифровалась, но негодяй удалил все папки с бэкапами, и запустил перезапись свободного пространства..

 

Еще я понял, что шифруется только часть файла, остальное остается нетронутым, однако, работать это уже не будет.

[thyrex]

Похоже что-то не так с вот этим

109369310621209666497493407771647172891918301596099448534107602602636958163213279263062266133167237624302368377114371628779127782140001537086836294543950520

 

в конце файла. Или приватный ключ RSA другой для этого файла, если шифрование запускалось несколько раз.

 

Увы, тут должны помогать только сами авторы. Но с файлами такого размера они точно возиться не будут.

[derxander]

Похоже что-то не так с вот этим

109369310621209666497493407771647172891918301596099448534107602602636958163213279263062266133167237624302368377114371628779127782140001537086836294543950520

 

в конце файла. Или приватный ключ RSA другой для этого файла, если шифрование запускалось несколько раз.

 

Увы, тут должны помогать только сами авторы. Но с файлами такого размера они точно возиться не будут.

эмм.. немного провозившись с восстановлением всего что превратилось в пепел добавлю, что с с файлом такого размера они не стали бы возиться прямо-таки точно, НО, прислав им конец файла (где цифры) они сказали, что над файлом поработал другой процесс шифратора.. А так, как файл не находился в общей папке - я решил уточнить как же так вышло, на что любезно был дан ответ: в системе была найдена уязвимость, которая позволила расшаривать папки, до которой и добрались другие процессы шифратора с других компьютеров..

Но, как мне кажется, на самом деле получив админские права, злоумышленник самостоятельно расшарил папки с базами данных, предварительно остановив SQL-службу.

p.s.: теперь храним резервные копии удаленно, ну, "облака" например, и плюсом FTP-сервер на unix-системе с пользователями, которые имеют доступ только на запись новых файлов..

Кстатииии (немного не по теме), насколько FTP-сервер безопасен при условии суперсложных имен пользователей и их суперсложных паролей.. + этим именам доступны права только на запись новых файлов..