crylock 2.0.0.0 Шифровальщик Crylock зашифровал все диски. Вымогатели требуют выкуп $3k. Взломали через брутфорс RDP.

[kostia7alania]

Зашифровали все файлы, в каждой папке есть хелп с таким html:
 

Your files will be leak after

2 days 21:12:21

Decrypt files? Write to this mails: honestandhope@qq.com or . mail honestandhope@qq.com.
You unique ID [3EBA0CD9-36A432CE] [copy]

 

Написал им на почту honestandhope@qq.com и вот что ответили:

Цитата

"Please turn off your remote access or change all the passwords of your administrators and users to stronger ones.

 

1.  Price.

3000 $ (american dollars) for decrypting all your files, or for part of your files, the price is the same. 

We accept only BITCOIN payments. (It is a decentralized digital currency)

 

2.  Be careful please.

Do not change the encrypted file extension. 

Do not try to decrypt your files with programs from the internet, these programs don't work. 

If you decide to try any decryption programs, please make a copy of the encrypted files before doing so.

Only our email has the keys to decrypt your files. Do not believe other peoples.

 

3.  Test decryption as a guarantee

We will decrypt 1 any, not important file, as proof of decryption.

File for test no more than 1 megabyte (not archived). If in our opinion you send an important file, 

we have the right to refuse to decrypt it and ask you to send another file.

 

4.  Decryption process:

We are waiting for payment to our Bitcoin wallet: ""1KssAVbkUAjjMy7xnrn2yiN1yFjY97PXGH"". As soon as we receive the money we will send you:

a)     Program for scanning and decryption.

b)     Instructions for decrypting and securing your computer.

c)     Private keys to decrypt your files.

 

5.  Websites where you can buy bitcoins :

paxful.com localbitcoins.com bitbay.net    www.bitquick.co   www.xmlgold.eu www.bitpanda.com www.abra.com buy.bitcoin.com   Website for Russia: https://byware.net/"

Я ответил, что у меня нет таких денег. И вот ответ:

We can make a price of $ 1500 if you pay this week.
Many russians using this web service to buy bitcoins https://byware.net/ or https://easybit.pro/
Wallet number: 1KssAVbkUAjjMy7xnrn2yiN1yFjY97PXGH
Аfter payment, send a screenshot of your payment and we will send you the decoder and instructions

Ребята из Белоруссии уже откликнулись:

Цитата

 

Добрый день, проведена проверка по вашим файлам, стоимость расшифровки всех данных составит 5900 белорусских рублей.
Порядок работы таков:
1. Вы подъезжаете к нам в офис, мы подписываем договор, в котором фиксируем стоимость работ.
2. После этого мы занимаемся расшифровкой всех файлов.
3. После расшифровки Вы убеждаетесь в том, что все файлы открываются, и мы подписываем акт выполненных работ.

Оплата выполняется в два этапа: 50% предоплата до начала работ, 50% после подписания акта выполненных работ.

Также возможна удаленная работа (rdp или teamviewer) со 100% предоплатой по договору.

Вы получите все данные в том состоянии, в котором они были до заражения, без простоя и перебоя в работе, с гарантией, закрепленной договором.

 

 

 

В архиве сам шифровальщик и примеры: ссылка удалена
(!) Осторожно ! Не скачивать на свои настоящие девайсы, ток на виртуалку !

Письмо с требованием :


Шифруют в начале, а в конце - добавочная инфа о восстановлении:
см скрин:

Цитата

 

РЕбята, а куда скинуть сам шифровальщик? Сюда незя , оказывается (

Прикреплю по одному зашифрованные файлы

 

Строгое предупреждение от модератора Mark D. Pearlstone

Не публикуйте вредоносные файлы и ссылки на них.

samples.rar

Изменено 28 апреля, 2021 пользователем kostia7alania

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[kostia7alania]

Тут где-то писали, что они самоудаляются после своей черной работы. А вот и нет. Щас включаю в безопасном режиме комп и сразу подключаются параллельные сессии . 
Так что жду пока дешифрацию, потом буду врубать полноценно комп и смотреть какие там учетные записи и  тд.

 

В той же теме писали, что расшифровыващика нету . 
Почему тогда белорусы предлагают расшифровку? Может на форуме Каспера не всё знают в своей нише ? 

з.ы. вот тут писали.

 

Изменено 28 апреля, 2021 пользователем kostia7alania

[thyrex]

2 часа назад, kostia7alania сказал:

Ребята из Белоруссии уже откликнулись

Посредники, которые в сговоре со злоумышленниками.

 

С расшифровкой помочь не сможем. Чистка мусора нужна?

[kostia7alania]

КАКОГО МУСОРА ?!?!

 

НЕ ВВОДИТЕ ЛЮДЕЙ В ЗАБЛУЖДЕНИЕ !

 

ШИФРУЕТСЯ ЛИШЬ НАЧАЛО , остальная часть файлов - исходная!!!!! 

Я сам нашел решение: RSTUDIO + UNTRUNC (восстанавливает битые видео) !!!!

[thyrex]

В зависимости от типа файла используются разные алгоритмы. В т.ч. и несколько шифрованных блоков внутри некоторых типов файлов. Поэтому не вводите людей в заблуждение.