Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Файлы зашифрованы Trojan.Encoder.32508

BrYaNT
 Поделиться

Рекомендуемые сообщения

BrYaNT

BrYaNT

Опубликовано
Опубликовано (изменено)

Доброе утро.

 

Зашифровало все файлы на сервере, включая базу данных.

Возможно ли дешифровать данные каким либо вариантом с помощью специалистов?

 

Абсолютная безысходность. Бекапы к сожалению были на соседнем диске и их тоже "покушало".

 

Пример зашифрованных файлов во вложении.

 

Заранее спасибо за любую помощь и обратную связь.

 

11VK 300X1000.zip

#ReadThis.TXT

Изменено пользователем BrYaNT
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Скорее всего расшифровки этого типа вымогателя нет.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

BrYaNT

BrYaNT

Опубликовано
  • Автор
Опубликовано

Понял. Спасибо за ответ и потраченное время. Хорошего дня.

  • 4 недели спустя...
BrYaNT

BrYaNT

Опубликовано
  • Автор
Опубликовано (изменено)

Был куплен дешифратор. Путем анализа и помощи Sandor + thyrex = заметил одну особенность. Так как ID в самом дешифраторе другой, его можно заменить в самом зашифрованном файле. После запуска он убирает и мыло, и ID и возвращает тип. Но у тех же фото нет ключевых характеристик в свойствах. Глубина фото, высота и ширина. При наведении на файл, он имеет вес. И дату создания. Но не показывает разрешение файла. Ни один файл ни после замены ID ни до после дешифровки не открывается. Условно поломанные. 

 

Я покопался в копии системной папки и заметил такую особенность. В каждой учетке создана папка - Crypto. Пошифрованно было 26.06. Папки созданы 20.06. Так вот в каждой учетке есть две папки. Одна с названием - Keys. Вторая имеет название RSA. Вторая папка у всех имеет еще одно вложение. Папка по типу названия ключа (у всех он разный, у каждой учетки). Но если провалится в саму папку - она пустая. И только у администратора эта папка не пустая и имеет целый набор системных файлов. Если быть точнее 22 файла. Некоторые из файлов как раз 26.06.2021 созданы. Буквально за часа три до атаки. Некоторые и раньше созданы датами. В этих файлах меняется только условно первый набор буквенно-символьных данных до -. Дальше идет повтор (окончание данных файла).

 

На условном сайте https://id-ransomware.blogspot.com/2020/09/flamingo-ransomware.html я заметил что этот .LIZARD шифрует данные AES+RSA.

 

Может кто-то сможет из профи сказать, это каким то образом может помочь в доработке этого дешифратора. Так как на обратный контакт к сожалению уже не идут эти "упыри". Деньги получили - дело в шляпе.

Может у кого опыт был подобного плана? Или это гайки и ничем не помочь пациенту?

 

P.S. Хотя проверил на других системах - такая же папка есть. Так что не вариант.

Изменено пользователем BrYaNT
thyrex

thyrex

Опубликовано
Опубликовано

Доработать невозможно. У каждого пострадавшего свой ключ расшифровки, который зашит в дешифраторе под конкретного пострадавшего.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Александр1
      Вирус шифровальщик зашифровал данные .Summon Summon@nuke.africa
      Автор Александр1
      Добрый день.
       
      Словили шифровальщик. Помогите пожалуйста расшифровать.
      Возможно что-то сделать?
      Зашифрованные файлы.zip
    • Aardvark
      HELP decrypt353@aol.com
      Автор Aardvark
      Добрый день.
       
      Помогите вылечить.
      Сервер 1С поймал Trojan-Ransom.Win32.Crypren.vho 
      Все файлы, включая загрузочные, переименовались в: [decrypt353@aol.com][id=EEA9F253]{имя файла}.{расширение файла}.notfound
      На другой машине сканировал диск. Нашёл HEUR:Trojan-Ransom.Win32.Crypren.vho в кэше Google Chrome. 
      Лог собран на загрузочном диске.
       
      Заранее благодарен.
      FRST.txt HOW TO RECOVER ENCRYPTED FILES.txt
    • Пользователь ArchiCAD
      Помогите расшифровать файлы после шифровальщиков CLOWN RANSOMWARE
      Автор Пользователь ArchiCAD
      Помогите расшифровать файлы после шифровальщиков CLOWN RANSOMWARE. В основном необходимо восстановить файлы ArchiCAD. 
       
      HOW TO RECOVER ENCRYPTED FILES.txt
      [Heeeh98@tutanota.com][id=B2C29094]2017_09_05__ Зельгросс__план типового этажа_.pdf.notfound
    • besupremebeing
      The DMR | Clown Ransomware
      Автор besupremebeing
      Здравствуйте!
      К сожалению не являюсь клиентом Касперского, но надеюсь, что кто-нибудь поделиться имеющейся информацией.
      Проникновение вымогателя произошло через поиск RDP (non-over-vpn) и последующего брут-форса - всё банально.
      Вымогатель - The DMR (Clown ransomware): https://id-ransomware.malwarehunterteam.com/identify.php?case=4b92ef5d3c7e2418432bd892366f59a560abd43c
      Если не ошибаюсь текущий статус вымогателя - "изучение".
       
      HOW TO RECOVER ENCRYPTED FILES.txt [decrypt353@aol.com][id=]default.vrd.zip
    • alexgaa
      пострадали от id[0601B927-3352].[5ops1rt3@tuta.io].LIZARD
      Автор alexgaa
      Здравствуйте.
      При включении компьютера получили сообщение что все файлы закодированы. Клонировали диск, и отдали мне , а родной помножили на 0 восстановив заводскую систему.
      На клоне был найден вирус sql.exe в четырех местах, FRST выполнить не могу, клонированная система не запускается требует WdFilter.sys
      В наличии вирус, записка с требованиями вымогателя, закодированные файлы с расширением id[0601B927-3352].[5ops1rt3@tuta.io].LIZARD , есть файл оригинал закодированного.
      Пока пытаюсь разобраться с запуском клона, чтобы выполнить FRST.
      Сможете помочь с расшифровкой?
      ahiv.7z
×
×
  • Создать...