Перейти к содержанию

Шифровальщик Crylock зашифровал все диски. Вымогатели требуют выкуп $3k. Взломали через брутфорс RDP.


Рекомендуемые сообщения

Зашифровали все файлы, в каждой папке есть хелп с таким html:
 

Your files will be leak after
2 days 21:12:21
Decrypt files? Write to this mails: honestandhope@qq.com or . mail honestandhope@qq.com.
You unique ID [3EBA0CD9-36A432CE] [copy]

 

Написал им на почту honestandhope@qq.com и вот что ответили:

Цитата
"Please turn off your remote access or change all the passwords of your administrators and users to stronger ones.
 
1.  Price.
3000 $ (american dollars) for decrypting all your files, or for part of your files, the price is the same. 
We accept only BITCOIN payments. (It is a decentralized digital currency)
 
2.  Be careful please.
Do not change the encrypted file extension. 
Do not try to decrypt your files with programs from the internet, these programs don't work. 
If you decide to try any decryption programs, please make a copy of the encrypted files before doing so.
Only our email has the keys to decrypt your files. Do not believe other peoples.
 
3.  Test decryption as a guarantee
We will decrypt 1 any, not important file, as proof of decryption.
File for test no more than 1 megabyte (not archived). If in our opinion you send an important file, 
we have the right to refuse to decrypt it and ask you to send another file.
 
4.  Decryption process:
We are waiting for payment to our Bitcoin wallet: ""1KssAVbkUAjjMy7xnrn2yiN1yFjY97PXGH"". As soon as we receive the money we will send you:
a)     Program for scanning and decryption.
b)     Instructions for decrypting and securing your computer.
c)     Private keys to decrypt your files.
 
5.  Websites where you can buy bitcoins :
paxful.com localbitcoins.com bitbay.net    www.bitquick.co   www.xmlgold.eu www.bitpanda.com www.abra.com buy.bitcoin.com   Website for Russia: https://byware.net/"

Я ответил, что у меня нет таких денег. И вот ответ:

We can make a price of $ 1500 if you pay this week.
Many russians using this web service to buy bitcoins https://byware.net/ or https://easybit.pro/
Wallet number: 1KssAVbkUAjjMy7xnrn2yiN1yFjY97PXGH
Аfter payment, send a screenshot of your payment and we will send you the decoder and instructions

Ребята из Белоруссии уже откликнулись:

Цитата

 

Добрый день, проведена проверка по вашим файлам, стоимость расшифровки всех данных составит 5900 белорусских рублей.
Порядок работы таков:
1. Вы подъезжаете к нам в офис, мы подписываем договор, в котором фиксируем стоимость работ.
2. После этого мы занимаемся расшифровкой всех файлов.
3. После расшифровки Вы убеждаетесь в том, что все файлы открываются, и мы подписываем акт выполненных работ.

Оплата выполняется в два этапа: 50% предоплата до начала работ, 50% после подписания акта выполненных работ.

Также возможна удаленная работа (rdp или teamviewer) со 100% предоплатой по договору.

Вы получите все данные в том состоянии, в котором они были до заражения, без простоя и перебоя в работе, с гарантией, закрепленной договором.

 

 

 

В архиве сам шифровальщик и примеры: ссылка удалена
(!) Осторожно ! Не скачивать на свои настоящие девайсы, ток на виртуалку !

Письмо с требованием :
AFkUhbMBzj4.jpg?size=1368x812&quality=96&sign=f3e104418d3544334e98c3b34f31e37b&type=album

Шифруют в начале, а в конце - добавочная инфа о восстановлении:
см скрин:

Цитата

6TtUKEeMKNY.jpg?size=1920x1080&quality=96&sign=86adbcfaa4970fb0d426345021945ebe&type=albumWesKQzm0Orw.jpg?size=986x595&quality=96&sign=90b4f975f6e6488143c74c2676713d6f&type=albumMaGED4lVJYk.jpg?size=1441x1077&quality=96&sign=a8468bbee150ff24e5597410e4997cba&type=albumvIHCaLAFMxA.jpg?size=1024x761&quality=96&sign=b1725cf8273bb35b394f1f382fb6f3dc&type=album

 

РЕбята, а куда скинуть сам шифровальщик? Сюда незя , оказывается (

Прикреплю по одному зашифрованные файлы

 

Строгое предупреждение от модератора Mark D. Pearlstone
Не публикуйте вредоносные файлы и ссылки на них.

samples.rar

Изменено пользователем kostia7alania
Ссылка на сообщение
Поделиться на другие сайты

Тут где-то писали, что они самоудаляются после своей черной работы. А вот и нет. Щас включаю в безопасном режиме комп и сразу подключаются параллельные сессии . 
Так что жду пока дешифрацию, потом буду врубать полноценно комп и смотреть какие там учетные записи и  тд.

 

В той же теме писали, что расшифровыващика нету
Почему тогда белорусы предлагают расшифровку? Может на форуме Каспера не всё знают в своей нише ? 

з.ы. вот тут писали.

 

Изменено пользователем kostia7alania
Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, kostia7alania сказал:

Ребята из Белоруссии уже откликнулись

Посредники, которые в сговоре со злоумышленниками.

 

С расшифровкой помочь не сможем. Чистка мусора нужна?

Ссылка на сообщение
Поделиться на другие сайты

КАКОГО МУСОРА ?!?!

 

НЕ ВВОДИТЕ ЛЮДЕЙ В ЗАБЛУЖДЕНИЕ !

 

ШИФРУЕТСЯ ЛИШЬ НАЧАЛО , остальная часть файлов - исходная!!!!! 


Я сам нашел решение: RSTUDIO + UNTRUNC (восстанавливает битые видео) !!!!

Ссылка на сообщение
Поделиться на другие сайты

В зависимости от типа файла используются разные алгоритмы. В т.ч. и несколько шифрованных блоков внутри некоторых типов файлов. Поэтому не вводите людей в заблуждение.

Ссылка на сообщение
Поделиться на другие сайты
  • thyrex закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От _oleg77_
      Virus.rarТроян зашифровал все файлы.
       
      Addition.txt Files.rar FRST.txt
    • От DimmON77
      Здравствуйте.
      Поймал шифровальщика на рабочем компьютере (если не ошибаюсь, это произошло 2021-04-23).
      Как только увидел зашифрованные файлы в рабочей папке - сразу выключил компьютер.
      Логи Farbar Recovery Scan Tool были сделаны когда компьютер загружен с флешки с windows pe. 
      Очень надеюсь на помочь в расшифровке.Лог Farbar Recovery Scan Tool и зашифрованные файлы.7z
    • От laio
      зашифрованы документы
       
    • От Sergody
      Добрый день, ситуация такая: Есть отдельный серверный комп, вчера когда к нему подключился увидел кучу открытых окон, реестр, какие то текстовые файлы и сразу запаниковав перезагрузил его после запуска компьютера увидел нового пользователя, мой аккаунт с правами администратора стал недоступен, возможность зайти в систему была только через другого пользователя с обычными правами и там уже обнаружил что файлы закодированы. Как и где подхватить не знаю. 
      Addition.txt FRST.txt Зашифрованные файлы и записка.rar
    • От tomassikora
      Сегодня ночью, зашифровали сервер, примеры зараженных файлов, и текстовый документ прилагаю
      FILES ENCRYPTED.txt примеры.rar
×
×
  • Создать...