Перейти к содержанию

Шифровальщик Crylock зашифровал все диски. Вымогатели требуют выкуп $3k. Взломали через брутфорс RDP.


Рекомендуемые сообщения

Зашифровали все файлы, в каждой папке есть хелп с таким html:
 

Your files will be leak after
2 days 21:12:21
Decrypt files? Write to this mails: honestandhope@qq.com or . mail honestandhope@qq.com.
You unique ID [3EBA0CD9-36A432CE] [copy]

 

Написал им на почту honestandhope@qq.com и вот что ответили:

Цитата
"Please turn off your remote access or change all the passwords of your administrators and users to stronger ones.
 
1.  Price.
3000 $ (american dollars) for decrypting all your files, or for part of your files, the price is the same. 
We accept only BITCOIN payments. (It is a decentralized digital currency)
 
2.  Be careful please.
Do not change the encrypted file extension. 
Do not try to decrypt your files with programs from the internet, these programs don't work. 
If you decide to try any decryption programs, please make a copy of the encrypted files before doing so.
Only our email has the keys to decrypt your files. Do not believe other peoples.
 
3.  Test decryption as a guarantee
We will decrypt 1 any, not important file, as proof of decryption.
File for test no more than 1 megabyte (not archived). If in our opinion you send an important file, 
we have the right to refuse to decrypt it and ask you to send another file.
 
4.  Decryption process:
We are waiting for payment to our Bitcoin wallet: ""1KssAVbkUAjjMy7xnrn2yiN1yFjY97PXGH"". As soon as we receive the money we will send you:
a)     Program for scanning and decryption.
b)     Instructions for decrypting and securing your computer.
c)     Private keys to decrypt your files.
 
5.  Websites where you can buy bitcoins :
paxful.com localbitcoins.com bitbay.net    www.bitquick.co   www.xmlgold.eu www.bitpanda.com www.abra.com buy.bitcoin.com   Website for Russia: https://byware.net/"

Я ответил, что у меня нет таких денег. И вот ответ:

We can make a price of $ 1500 if you pay this week.
Many russians using this web service to buy bitcoins https://byware.net/ or https://easybit.pro/
Wallet number: 1KssAVbkUAjjMy7xnrn2yiN1yFjY97PXGH
Аfter payment, send a screenshot of your payment and we will send you the decoder and instructions

Ребята из Белоруссии уже откликнулись:

Цитата

 

Добрый день, проведена проверка по вашим файлам, стоимость расшифровки всех данных составит 5900 белорусских рублей.
Порядок работы таков:
1. Вы подъезжаете к нам в офис, мы подписываем договор, в котором фиксируем стоимость работ.
2. После этого мы занимаемся расшифровкой всех файлов.
3. После расшифровки Вы убеждаетесь в том, что все файлы открываются, и мы подписываем акт выполненных работ.

Оплата выполняется в два этапа: 50% предоплата до начала работ, 50% после подписания акта выполненных работ.

Также возможна удаленная работа (rdp или teamviewer) со 100% предоплатой по договору.

Вы получите все данные в том состоянии, в котором они были до заражения, без простоя и перебоя в работе, с гарантией, закрепленной договором.

 

 

 

В архиве сам шифровальщик и примеры: ссылка удалена
(!) Осторожно ! Не скачивать на свои настоящие девайсы, ток на виртуалку !

Письмо с требованием :
AFkUhbMBzj4.jpg?size=1368x812&quality=96&sign=f3e104418d3544334e98c3b34f31e37b&type=album

Шифруют в начале, а в конце - добавочная инфа о восстановлении:
см скрин:

Цитата

6TtUKEeMKNY.jpg?size=1920x1080&quality=96&sign=86adbcfaa4970fb0d426345021945ebe&type=albumWesKQzm0Orw.jpg?size=986x595&quality=96&sign=90b4f975f6e6488143c74c2676713d6f&type=albumMaGED4lVJYk.jpg?size=1441x1077&quality=96&sign=a8468bbee150ff24e5597410e4997cba&type=albumvIHCaLAFMxA.jpg?size=1024x761&quality=96&sign=b1725cf8273bb35b394f1f382fb6f3dc&type=album

 

РЕбята, а куда скинуть сам шифровальщик? Сюда незя , оказывается (

Прикреплю по одному зашифрованные файлы

 

Строгое предупреждение от модератора Mark D. Pearlstone
Не публикуйте вредоносные файлы и ссылки на них.

samples.rar

Изменено пользователем kostia7alania
Ссылка на сообщение
Поделиться на другие сайты

Тут где-то писали, что они самоудаляются после своей черной работы. А вот и нет. Щас включаю в безопасном режиме комп и сразу подключаются параллельные сессии . 
Так что жду пока дешифрацию, потом буду врубать полноценно комп и смотреть какие там учетные записи и  тд.

 

В той же теме писали, что расшифровыващика нету
Почему тогда белорусы предлагают расшифровку? Может на форуме Каспера не всё знают в своей нише ? 

з.ы. вот тут писали.

 

Изменено пользователем kostia7alania
Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, kostia7alania сказал:

Ребята из Белоруссии уже откликнулись

Посредники, которые в сговоре со злоумышленниками.

 

С расшифровкой помочь не сможем. Чистка мусора нужна?

Ссылка на сообщение
Поделиться на другие сайты

КАКОГО МУСОРА ?!?!

 

НЕ ВВОДИТЕ ЛЮДЕЙ В ЗАБЛУЖДЕНИЕ !

 

ШИФРУЕТСЯ ЛИШЬ НАЧАЛО , остальная часть файлов - исходная!!!!! 


Я сам нашел решение: RSTUDIO + UNTRUNC (восстанавливает битые видео) !!!!

Ссылка на сообщение
Поделиться на другие сайты

В зависимости от типа файла используются разные алгоритмы. В т.ч. и несколько шифрованных блоков внутри некоторых типов файлов. Поэтому не вводите людей в заблуждение.

Ссылка на сообщение
Поделиться на другие сайты
  • thyrex закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • tized-NSK
      От tized-NSK
      Здравствуйте, у меня точно такаяже проблема с шифрованием файлов формат rty не подскажете как их расшифровать?  ShadeDecryptor не помог ,Kaspersky XoristDecryptor тоже не помог
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Александр Нефёдов
      От Александр Нефёдов
      Добрый день.
      Столкнулся с проблемой блокировки загрузки ОС Windows Server 2016, и других.
      За ночь заблочило десять машин, которые не выключались.
      Пример блокировки на скрине.
      Диски не читаются, типа raw формат, поэтому как таковых зашифрованных файлов нет, вероятно зашифрован весь диск.
      вариант из статьи(https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html) с AOMEI не помог.
       
      За любые идеи которые помогу восстановить информацию буду благодарен .

    • AlexDreyk
      От AlexDreyk
      Добрый день! Просьба помочь с расшифровкой
      Addition.txt FRST.txt Зашифрованные файлы.zip
    • dsever
      От dsever
      Сегодня после выходных обнаружили проблему. Два сервера - все данные зашифрованы.  основная проблема с 1С файлы зашифрованы + бэкапы тоже. DrWEB пишет, что вирус попал по RDP, "Файл шифровальщика находится по пути
      C:\users\администратор.win-8anssg9mkch\appdata\local\7af1be1c-1606-8166-99e6-80b4a9786b07\BABKAALYOEBALO.exe". Так же вирус зашифровал все расшаренные файлы на других серверах, но до баз SQL не добрался.
       
      BABKAALYOEBALO_DECRYPTION.txt
    • vyz-project
      От vyz-project
      На рабочем компьютере 19.11.23 начиная примерно в 22:30 (судя по дате изменения) были зашифрованы все файлы. Теперь они все с расширением .id[705C9723-3351].[blankqq@tuta.io].elpy
      На данный момент зараженный компьютер изолирован. Но он был в локальной сети до этого момента.
      Логи и файлы приложил.
      pdf_files.7z Addition.txt FRST.txt
×
×
  • Создать...