Перейти к содержанию
Где отпразднуем 16 лет клуба? На острове!
Как попасть в «Лабораторию Касперского» за 1 день? Очень просто.

Файлы зашифрованы Trojan.Encoder.32508

BrYaNT
 Share Подписчики 2

Рекомендуемые сообщения

BrYaNT

BrYaNT 0

Опубликовано
Опубликовано (изменено)

Доброе утро.

 

Зашифровало все файлы на сервере, включая базу данных.

Возможно ли дешифровать данные каким либо вариантом с помощью специалистов?

 

Абсолютная безысходность. Бекапы к сожалению были на соседнем диске и их тоже "покушало".

 

Пример зашифрованных файлов во вложении.

 

Заранее спасибо за любую помощь и обратную связь.

 

11VK 300X1000.zip

#ReadThis.TXT

Изменено пользователем BrYaNT
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 991

Опубликовано
Опубликовано

Здравствуйте!

 

Скорее всего расшифровки этого типа вымогателя нет.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Ссылка на сообщение
Поделиться на другие сайты
  • 4 weeks later...
BrYaNT

BrYaNT 0

Опубликовано
  • Автор
Опубликовано (изменено)

Был куплен дешифратор. Путем анализа и помощи Sandor + thyrex = заметил одну особенность. Так как ID в самом дешифраторе другой, его можно заменить в самом зашифрованном файле. После запуска он убирает и мыло, и ID и возвращает тип. Но у тех же фото нет ключевых характеристик в свойствах. Глубина фото, высота и ширина. При наведении на файл, он имеет вес. И дату создания. Но не показывает разрешение файла. Ни один файл ни после замены ID ни до после дешифровки не открывается. Условно поломанные. 

 

Я покопался в копии системной папки и заметил такую особенность. В каждой учетке создана папка - Crypto. Пошифрованно было 26.06. Папки созданы 20.06. Так вот в каждой учетке есть две папки. Одна с названием - Keys. Вторая имеет название RSA. Вторая папка у всех имеет еще одно вложение. Папка по типу названия ключа (у всех он разный, у каждой учетки). Но если провалится в саму папку - она пустая. И только у администратора эта папка не пустая и имеет целый набор системных файлов. Если быть точнее 22 файла. Некоторые из файлов как раз 26.06.2021 созданы. Буквально за часа три до атаки. Некоторые и раньше созданы датами. В этих файлах меняется только условно первый набор буквенно-символьных данных до -. Дальше идет повтор (окончание данных файла).

 

На условном сайте https://id-ransomware.blogspot.com/2020/09/flamingo-ransomware.html я заметил что этот .LIZARD шифрует данные AES+RSA.

 

Может кто-то сможет из профи сказать, это каким то образом может помочь в доработке этого дешифратора. Так как на обратный контакт к сожалению уже не идут эти "упыри". Деньги получили - дело в шляпе.

Может у кого опыт был подобного плана? Или это гайки и ничем не помочь пациенту?

 

P.S. Хотя проверил на других системах - такая же папка есть. Так что не вариант.

Изменено пользователем BrYaNT
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1303

Опубликовано
Опубликовано

Доработать невозможно. У каждого пострадавшего свой ключ расшифровки, который зашит в дешифраторе под конкретного пострадавшего.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • sys374
      Шифровальщик [erenyeager@keemail.me][ID=1E038812]cmd - Ярлык.lnk.HYDRA
      От sys374
      Сталкивался кто-нибудь с расшифровкой файлов hydra?

    • Матулионис
      Словили шифровальщика ([hydrarans@yandex.com][ID=4EDD2082]config.sys.HYDRA)
      От Матулионис
      Добрый день, зашифрованы в основном документы Microsoft Office. Шифровальщик [hydrarans@yandex.com][ID=4EDD2082]*.HYDRA. Если есть возможность помочь, буду благодарен. Отдельно стоящий ПК в сети, подключения только по сети к одному ресурсу, содержащему только текстовые фалы. Был установлен  Касперский Ransomware Protection для бизнеса, успешно удален шифровальщиком). Дополнительно прикрепляю файл с журналом событий. Заранее спасибо.
      Addition.txt arhive.zip Events.zip FRST.txt
    • 70serg
      Шифровальщик [Miracle11@keemail.me][ID=ED401E20]***.HYDRA
      От 70serg
      17.02.2022 словил шифровальщик (по Касперскому как: Virus.Win32.Nesta.b) на компьютер по RDP
      Зашифровал все. Затронул 1 комп в сети. Есть подозрение на зараженный комп одного из клиентов, подключающегося по RDP
      Что делать для очистки системы от следов
      ?Addition.txt FRST.txt CryptedFiles.rar
    • Ольга Б
      Зашифрованы файлы баз 1С
      От Ольга Б
      При запуске программы 1С было сообщение : отсутствует файл базы данных. В каталогах баз данных оказались зашифрованные файлы с датой изменения 09.01.22. 1.22 и т.д
       
       
       
       
    • Nikita44
      Вирусы зашифровали файлы
      От Nikita44
      Добрый день, у меня возникла следующая проблема.
      Вирусы зашифровали файлы на моем сервере, помогите пожалуйста восстановить файлы.
      Вирусную папку с данными прилагаю.
       
       
       
      FinalWire AIDA64 v4.70.3200 RePack (& portable) by KpoJIuK.zip
×
×
  • Создать...