Перейти к содержанию

Шифровальщик Crylock зашифровал все диски. Вымогатели требуют выкуп $3k. Взломали через брутфорс RDP.


Рекомендуемые сообщения

Зашифровали все файлы, в каждой папке есть хелп с таким html:
 

Your files will be leak after
2 days 21:12:21
Decrypt files? Write to this mails: honestandhope@qq.com or . mail honestandhope@qq.com.
You unique ID [3EBA0CD9-36A432CE] [copy]

 

Написал им на почту honestandhope@qq.com и вот что ответили:

Цитата
"Please turn off your remote access or change all the passwords of your administrators and users to stronger ones.
 
1.  Price.
3000 $ (american dollars) for decrypting all your files, or for part of your files, the price is the same. 
We accept only BITCOIN payments. (It is a decentralized digital currency)
 
2.  Be careful please.
Do not change the encrypted file extension. 
Do not try to decrypt your files with programs from the internet, these programs don't work. 
If you decide to try any decryption programs, please make a copy of the encrypted files before doing so.
Only our email has the keys to decrypt your files. Do not believe other peoples.
 
3.  Test decryption as a guarantee
We will decrypt 1 any, not important file, as proof of decryption.
File for test no more than 1 megabyte (not archived). If in our opinion you send an important file, 
we have the right to refuse to decrypt it and ask you to send another file.
 
4.  Decryption process:
We are waiting for payment to our Bitcoin wallet: ""1KssAVbkUAjjMy7xnrn2yiN1yFjY97PXGH"". As soon as we receive the money we will send you:
a)     Program for scanning and decryption.
b)     Instructions for decrypting and securing your computer.
c)     Private keys to decrypt your files.
 
5.  Websites where you can buy bitcoins :
paxful.com localbitcoins.com bitbay.net    www.bitquick.co   www.xmlgold.eu www.bitpanda.com www.abra.com buy.bitcoin.com   Website for Russia: https://byware.net/"

Я ответил, что у меня нет таких денег. И вот ответ:

We can make a price of $ 1500 if you pay this week.
Many russians using this web service to buy bitcoins https://byware.net/ or https://easybit.pro/
Wallet number: 1KssAVbkUAjjMy7xnrn2yiN1yFjY97PXGH
Аfter payment, send a screenshot of your payment and we will send you the decoder and instructions

Ребята из Белоруссии уже откликнулись:

Цитата

 

Добрый день, проведена проверка по вашим файлам, стоимость расшифровки всех данных составит 5900 белорусских рублей.
Порядок работы таков:
1. Вы подъезжаете к нам в офис, мы подписываем договор, в котором фиксируем стоимость работ.
2. После этого мы занимаемся расшифровкой всех файлов.
3. После расшифровки Вы убеждаетесь в том, что все файлы открываются, и мы подписываем акт выполненных работ.

Оплата выполняется в два этапа: 50% предоплата до начала работ, 50% после подписания акта выполненных работ.

Также возможна удаленная работа (rdp или teamviewer) со 100% предоплатой по договору.

Вы получите все данные в том состоянии, в котором они были до заражения, без простоя и перебоя в работе, с гарантией, закрепленной договором.

 

 

 

В архиве сам шифровальщик и примеры: ссылка удалена
(!) Осторожно ! Не скачивать на свои настоящие девайсы, ток на виртуалку !

Письмо с требованием :
AFkUhbMBzj4.jpg?size=1368x812&quality=96&sign=f3e104418d3544334e98c3b34f31e37b&type=album

Шифруют в начале, а в конце - добавочная инфа о восстановлении:
см скрин:

Цитата

6TtUKEeMKNY.jpg?size=1920x1080&quality=96&sign=86adbcfaa4970fb0d426345021945ebe&type=albumWesKQzm0Orw.jpg?size=986x595&quality=96&sign=90b4f975f6e6488143c74c2676713d6f&type=albumMaGED4lVJYk.jpg?size=1441x1077&quality=96&sign=a8468bbee150ff24e5597410e4997cba&type=albumvIHCaLAFMxA.jpg?size=1024x761&quality=96&sign=b1725cf8273bb35b394f1f382fb6f3dc&type=album

 

РЕбята, а куда скинуть сам шифровальщик? Сюда незя , оказывается (

Прикреплю по одному зашифрованные файлы

 

Строгое предупреждение от модератора Mark D. Pearlstone
Не публикуйте вредоносные файлы и ссылки на них.

samples.rar

Изменено пользователем kostia7alania
Ссылка на сообщение
Поделиться на другие сайты

Тут где-то писали, что они самоудаляются после своей черной работы. А вот и нет. Щас включаю в безопасном режиме комп и сразу подключаются параллельные сессии . 
Так что жду пока дешифрацию, потом буду врубать полноценно комп и смотреть какие там учетные записи и  тд.

 

В той же теме писали, что расшифровыващика нету
Почему тогда белорусы предлагают расшифровку? Может на форуме Каспера не всё знают в своей нише ? 

з.ы. вот тут писали.

 

Изменено пользователем kostia7alania
Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, kostia7alania сказал:

Ребята из Белоруссии уже откликнулись

Посредники, которые в сговоре со злоумышленниками.

 

С расшифровкой помочь не сможем. Чистка мусора нужна?

Ссылка на сообщение
Поделиться на другие сайты

КАКОГО МУСОРА ?!?!

 

НЕ ВВОДИТЕ ЛЮДЕЙ В ЗАБЛУЖДЕНИЕ !

 

ШИФРУЕТСЯ ЛИШЬ НАЧАЛО , остальная часть файлов - исходная!!!!! 


Я сам нашел решение: RSTUDIO + UNTRUNC (восстанавливает битые видео) !!!!

Ссылка на сообщение
Поделиться на другие сайты

В зависимости от типа файла используются разные алгоритмы. В т.ч. и несколько шифрованных блоков внутри некоторых типов файлов. Поэтому не вводите людей в заблуждение.

Ссылка на сообщение
Поделиться на другие сайты
  • thyrex закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От PavelRevenko
      Просьба помочь в расшифровке.
      Пользовательские файлы, документы\фото, текстовые файлы, БД 1С были переименованы, названия хаотичные, расширение .encrypted
      в каждой из папок файл с данными о выкупе .hta
      Исполняемого файла не обнаружил, по логам отрабатывал ночью. После система восстанавливалась тк сервер рабочий.
      Архив с  файлами зашифрованными (и оригинальные), а также файл с письмом о выкупе прилагаю. Отчет FRST64 в том же архиве 
      kaspersky.rar
    • От TwinAlex
      Доброго времени суток!
      У клиента шифровальщик заразил и зашифровал сервер W2012R2

      БД 1С и рабочие файлы стали выглядеть вот так:
      B3BFA73A1802.id-78F8AEAB.[p1gansta1p@aol.com].GanP

      В аттаче письмо с адресами для "выкупа" и пара зашифрованных файлов для анализа..

      Кто-нибудь сталкивался с такой заразой?
      Сможете помочь советом или алгоритмом?
      FILES ENCRYPTED.txt шифровано.zip
    • От PavelWRC
      Здравствуйте! Такая ситуация: на ПК проникла зараза, помещающая файлы в архив. На архив ставится пароль. При этом запароленный архив остается на ПК. Прошу помощи в расшифровке. На ПК был установлен AnyDesk, однако пароль для доступа через него был достаточно надежным, содержал символы разных регистров, цифры и специмволы. Интуитивно грешу на то, что архив с паролем был создан человеком вручную, а не какой либо вредоносной программой, возможно доступ через AnyDesk был кем то перехвачен. Согласно правилам форума прикладываю отчеты, составленные программой Farbar Recovery Scan Tool, образцы возможной найденной заразы (найдены при помощи Dr.Web CureIT) и файл с требованиями. Сам запароленый архив (объем более 5 Гб) доступен на яндекс.диске по ссылке: https://disk.yandex.ru/d/vnfKTFssSfa6_Q
      Addition.txt FRST.txt Образцы и файл с требованиями.rar
    • От sho_f
      Добрый день!
      Были зашифрованы все файлы, можно как-то помочь?
      Зашифрованные файлы и логи во вложении.
      пример.7z
    • От Дмитрий1979
      Здравствуйте, помогите с расшифровкой данных 
      Addition.txt FRST.txt
×
×
  • Создать...