Перейти к содержанию

Шифровальщик EnceryptedFiles@tutanota.com и декриптор к нему.


Рекомендуемые сообщения

Доброго,

у меня две темы -

1. Есть сервер заражённый шифровальщиком с указанием почты - EnceryptedFiles@tutanota.com, имена файлов выглядят следующим образом - ИмяФайла.Расширение=[249B6518].email=[EnceryptedFiles@tutanota.com].ziggy Я получил на эти файлы декриптор, прилагаю его к письму, как отчёт с заражённого сервера. Вопрос состоит в том, что он не расшифровывает файлы, которые больше 800Mb. Мошенники пытаются это поправить, но у них ничего не получается пока. Я прошу помочь с этой проблемой, научить декриптор работать с большими файлами, если надо то предоставлю для тестов. Ну и вам наверное будет полезно получить декриптор, хотя я в этом не уверен.

 

2. Есть сервер заражённый шифровальщиком с указанием почты - spadefiles@tutanota.ru, имена файлов выглядят следующим образом - ИмяФайла.Расширение.[SpadeFiles@tutanota.com][YNGW9CXQDV5A1HK].Spade. Декриптора у меня нет. Вопрос в следующем - можно ли декриптор из первого случая переделать во второй? и поможете ли вы с этим?

 

Прилагаю две версии декриптора к первому случаю. 249B6518 - прислали первый раз, 249B6518_4Tu8tWS - прислали во второй раз.  

CollectionLog-2020.12.18-09.59.zip decriptor.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Переместил тему в нужный раздел. Ознакомьтесь и выполните Порядок оформления запроса о помощи

Для второго компьютера создайте отдельную тему в этом же разделе.

Ссылка на сообщение
Поделиться на другие сайты

Расшифровки этой версии вымогателя нет.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 TerminateProcessByName('c:\programdata\microsoft\windows\start menu\programs\startup\## how to decrypt ##.exe');
 TerminateProcessByName('c:\users\Администратор\appdata\roaming\microsoft\windows\start menu\programs\startup\## how to decrypt ##.exe');
 TerminateProcessByName('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Runtime Broker.exe');
 QuarantineFile('c:\programdata\microsoft\windows\start menu\programs\startup\## how to decrypt ##.exe', '');
 QuarantineFile('c:\users\Администратор\appdata\roaming\microsoft\windows\start menu\programs\startup\## how to decrypt ##.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Runtime Broker.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\## HOW TO DECRYPT ##.exe', '');
 QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\## HOW TO DECRYPT ##.exe', '');
 QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\Runtime Broker.exe', '');
 DeleteFile('c:\programdata\microsoft\windows\start menu\programs\startup\## how to decrypt ##.exe', '');
 DeleteFile('c:\users\Администратор\appdata\roaming\microsoft\windows\start menu\programs\startup\## how to decrypt ##.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Runtime Broker.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\## HOW TO DECRYPT ##.exe', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Runtime Broker.exe', '64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\## HOW TO DECRYPT ##.exe', '64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\## HOW TO DECRYPT ##.exe', '64');
 DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\## HOW TO DECRYPT ##.exe', '');
 DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\Runtime Broker.exe', '');
ExecuteSysClean;
end.

 

Компьютер перезагрузите вручную. После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

Соберите и прикрепите логи FRST (по правилам).

Ссылка на сообщение
Поделиться на другие сайты

Спасибо,

но я же вам прислал декриптор который купил у вымогателей, разве он не является расшифровкой? 

decriptor.zip

 

декриптор есть, но проблема в том, что он не может расшифровать большие файлы(от 800Mb), я и пришёл с этой проблемой, в надежде, что вы мне как то поможете исправить его, что бы он работал с большими файлами. 

Ссылка на сообщение
Поделиться на другие сайты

Я видел то, что вы прикрепили.

Вам прислали не универсальное средство, а только для вашей системы. Поэтому я и сказал, что расшифровки нет.

Править чужую программу ещё и без нужного ключа вряд ли кто-то будет.

 

1 час назад, Sandor сказал:

Соберите и прикрепите логи FRST (по правилам).

Это делать будете?

Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, Sandor сказал:

Я видел то, что вы прикрепили.

Вам прислали не универсальное средство, а только для вашей системы. Поэтому я и сказал, что расшифровки нет.

Править чужую программу ещё и без нужного ключа вряд ли кто-то будет.

 

Это делать будете?

да не, уже бессмысленно  

Ссылка на сообщение
Поделиться на другие сайты
  • thyrex закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • I_CaR
      От I_CaR
      Здравствуйте.
      27.11.2023 была атака на сеть предприятия по RDP(зашли по 3389 порту на ПК администратора системы). Далее, через ПК администратора, были также по RDP заражены ещё 2 сервера предприятия.
      Вложения:
      "unlock-info.txt" - письмо от мошенников. Вирус немного похож на ouroboros (Так его детектировал Eset).
      Внутри архива сам вирус-шифрователь *.exe (пароль к архиву 12345).
      ---
      Заранее благодарен за внимание к проблеме.
      Очень надеюсь на положительный результат.
      unlock-info.txt filescoder@gmail.com(пароль_на_архив_12345).rar
    • Apdate2018
      От Apdate2018
      День добрый! зашифровали сервер 
       
      расширение файлов тепреь .[CW-NA0835962147].(spystar1@onionmail.com).Rar 
       
      но, я на шел на сервере  файла в каталоге ProgramData
       
      pkey.txt
      IDk.txt
      RSAKEY.KEY
      а так же файл prvkey.txt..[CW-NA0835962147].(spystar1@onionmail.com).Rar 
       
      не знаю можно ли распространять эти файлы поэтому их не прилагаю да и побаиваюсь я втыкать в тот комп свою флешку 
       
      в общем есть ли возможность восстановления?

      есть так же файл оригинал большого размера и файл точно такой ж ено зашифрованный
       
      поможете?
    • Дмитрий Казакевич
      От Дмитрий Казакевич
      Во вложении есть ключ присланный шифровальщиками
      Вірус.rar Addition.txt FRST.txt
    • Dimon77
      От Dimon77
      Все общие папки на сервере+ все папки ползователей на терминальнике.
       
      unlock-info.txt BAD.zip
    • mr.dwz
      От mr.dwz
      Добрый день! Шифровальщик зашифровал файлы на компьютере, в том числе и рабочие базы данных от ПО и 1С.
      Расширение у зашифрованных файлов (encoderdecryption@gmail.com).RYKCRYPT
       
      В автозагрузке находится encoderdecryption@gmail.com.exe
       
      Также в ProgramData созданы файлы IDk.txt, pkey.txt, RSAKEY.key
       
      Приложил логи FRST,
      В архиве rykcrypt_files лежат зашифрованные файлы, а также текстовые файлы из ProgramData(Idk.txt, pket.txt, RSAKEY.key)
      В архиве encoderdecryption@gmail.com.zip, лежит exe файл из автозагрузки (пароль virus)
       
      FRST.txt Addition.txt rykcrypt_files.zip encoderdecryption@gmail.com.zip
×
×
  • Создать...