derxander 1 Опубликовано 19 октября, 2019 Share Опубликовано 19 октября, 2019 Доброго времени суток всем! По ряду причин попался на удочку шифровальщика от Gold84@cock.li Подключился он через RDP на сервер, опять же по ряду причину, частично от меня независящих. Сожрал всё, что можно. Включая SQL базы и их копии. Было решено рисковать и выкупить дешифратор. Расшифровано всё, что не нужно, кроме того, что жизненно нужно, в частности одна из баз. Дэшифратор просто пишет FAIL, когда натыкается на sql-ную базу. Собственно сам вопрос: как ее расшифровать? сможете помочь? или может быть сам расшифровщик окажется полезен этому сообществу? Прикрепил расшифровщик и несколько зашифрованных образцов к сообщению. DecryptTest.zip 1 Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 19 октября, 2019 Share Опубликовано 19 октября, 2019 А к самим злодеям почему не обратились? Это же их дешифратор не работает должным образом. 1 Ссылка на сообщение Поделиться на другие сайты
derxander 1 Опубликовано 19 октября, 2019 Автор Share Опубликовано 19 октября, 2019 я понимаю к чему вы клоните, мол, нечего было договариваться с "террористами", но, увы, другого выбора просто не было на тот момент. отвечаю на Ваш вопрос: злодеи крайне необщительны. И просто стали игнорировать какие-либо вопросы, после того, как выслали дешифратор. Кстати, там была интересная такая система. Ссылка на дешифратор была одноразовая, т.е. скачав файл единожды, он удалялся с источника. Те люди, которые скачивали файл имея активный антивирус - сразу же "теряли" дешифровщик. Однако, чтобы его скачать снова - нужно дополнительные заплатить 100$.. Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 19 октября, 2019 Share Опубликовано 19 октября, 2019 я понимаю к чему вы клоните, мол, нечего было договариваться с "террористами"я всего лишь о том, что только добропорядочные авторы поделок и должны оказывать поддержку по работе своего детища. А вообще Ваши файлы успешно расшифровались https://www.sendspace.com/file/ytvaj3 Ссылка на сообщение Поделиться на другие сайты
derxander 1 Опубликовано 20 октября, 2019 Автор Share Опубликовано 20 октября, 2019 Дауж, поддержкой с их стороны вообще не пахнет. По поводу успешно расшифрованных файлов: да, эти файлы расшифровались. С ними проблем нет. Они были лишь как образцы. А сам проблемный файл вот: https://cloud.mail.ru/public/3Lmq/4tkdppMN8. Он заархивирован. В архиве 580 МБ, а при разархивации около 8-ми ГБ. Это SQL-ный файл MDF. Я бы попробовал расшифровать резервную копию, возможно она б расшифровалась, но негодяй удалил все папки с бэкапами, и запустил перезапись свободного пространства.. Еще я понял, что шифруется только часть файла, остальное остается нетронутым, однако, работать это уже не будет. Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 20 октября, 2019 Share Опубликовано 20 октября, 2019 Похоже что-то не так с вот этим 109369310621209666497493407771647172891918301596099448534107602602636958163213279263062266133167237624302368377114371628779127782140001537086836294543950520 в конце файла. Или приватный ключ RSA другой для этого файла, если шифрование запускалось несколько раз. Увы, тут должны помогать только сами авторы. Но с файлами такого размера они точно возиться не будут. Ссылка на сообщение Поделиться на другие сайты
derxander 1 Опубликовано 13 ноября, 2019 Автор Share Опубликовано 13 ноября, 2019 Похоже что-то не так с вот этим 109369310621209666497493407771647172891918301596099448534107602602636958163213279263062266133167237624302368377114371628779127782140001537086836294543950520 в конце файла. Или приватный ключ RSA другой для этого файла, если шифрование запускалось несколько раз. Увы, тут должны помогать только сами авторы. Но с файлами такого размера они точно возиться не будут. эмм.. немного провозившись с восстановлением всего что превратилось в пепел добавлю, что с с файлом такого размера они не стали бы возиться прямо-таки точно, НО, прислав им конец файла (где цифры) они сказали, что над файлом поработал другой процесс шифратора.. А так, как файл не находился в общей папке - я решил уточнить как же так вышло, на что любезно был дан ответ: в системе была найдена уязвимость, которая позволила расшаривать папки, до которой и добрались другие процессы шифратора с других компьютеров.. Но, как мне кажется, на самом деле получив админские права, злоумышленник самостоятельно расшарил папки с базами данных, предварительно остановив SQL-службу. p.s.: теперь храним резервные копии удаленно, ну, "облака" например, и плюсом FTP-сервер на unix-системе с пользователями, которые имеют доступ только на запись новых файлов.. Кстатииии (немного не по теме), насколько FTP-сервер безопасен при условии суперсложных имен пользователей и их суперсложных паролей.. + этим именам доступны права только на запись новых файлов.. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти