the dmr Файлы зашифрованы Trojan.Encoder.32508

[BrYaNT]

Доброе утро.

 

Зашифровало все файлы на сервере, включая базу данных.

Возможно ли дешифровать данные каким либо вариантом с помощью специалистов?

 

Абсолютная безысходность. Бекапы к сожалению были на соседнем диске и их тоже "покушало".

 

Пример зашифрованных файлов во вложении.

 

Заранее спасибо за любую помощь и обратную связь.

 

11VK 300X1000.zip

#ReadThis.TXT

Изменено 30 июня, 2021 пользователем BrYaNT

[Sandor]

Здравствуйте!

 

Скорее всего расшифровки этого типа вымогателя нет.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

[BrYaNT]

Понял. Спасибо за ответ и потраченное время. Хорошего дня.

[BrYaNT]

Был куплен дешифратор. Путем анализа и помощи Sandor + thyrex = заметил одну особенность. Так как ID в самом дешифраторе другой, его можно заменить в самом зашифрованном файле. После запуска он убирает и мыло, и ID и возвращает тип. Но у тех же фото нет ключевых характеристик в свойствах. Глубина фото, высота и ширина. При наведении на файл, он имеет вес. И дату создания. Но не показывает разрешение файла. Ни один файл ни после замены ID ни до после дешифровки не открывается. Условно поломанные. 

 

Я покопался в копии системной папки и заметил такую особенность. В каждой учетке создана папка - Crypto. Пошифрованно было 26.06. Папки созданы 20.06. Так вот в каждой учетке есть две папки. Одна с названием - Keys. Вторая имеет название RSA. Вторая папка у всех имеет еще одно вложение. Папка по типу названия ключа (у всех он разный, у каждой учетки). Но если провалится в саму папку - она пустая. И только у администратора эта папка не пустая и имеет целый набор системных файлов. Если быть точнее 22 файла. Некоторые из файлов как раз 26.06.2021 созданы. Буквально за часа три до атаки. Некоторые и раньше созданы датами. В этих файлах меняется только условно первый набор буквенно-символьных данных до -. Дальше идет повтор (окончание данных файла).

 

На условном сайте https://id-ransomware.blogspot.com/2020/09/flamingo-ransomware.html я заметил что этот .LIZARD шифрует данные AES+RSA.

 

Может кто-то сможет из профи сказать, это каким то образом может помочь в доработке этого дешифратора. Так как на обратный контакт к сожалению уже не идут эти "упыри". Деньги получили - дело в шляпе.

Может у кого опыт был подобного плана? Или это гайки и ничем не помочь пациенту?

 

P.S. Хотя проверил на других системах - такая же папка есть. Так что не вариант.

Изменено 23 июля, 2021 пользователем BrYaNT

[thyrex]

Доработать невозможно. У каждого пострадавшего свой ключ расшифровки, который зашит в дешифраторе под конкретного пострадавшего.