Перейти к содержанию

Файлы зашифрованы Trojan.Encoder.32508

BrYaNT
 Share Подписчики 2

Рекомендуемые сообщения

BrYaNT

BrYaNT 0

Опубликовано
Опубликовано (изменено)

Доброе утро.

 

Зашифровало все файлы на сервере, включая базу данных.

Возможно ли дешифровать данные каким либо вариантом с помощью специалистов?

 

Абсолютная безысходность. Бекапы к сожалению были на соседнем диске и их тоже "покушало".

 

Пример зашифрованных файлов во вложении.

 

Заранее спасибо за любую помощь и обратную связь.

 

11VK 300X1000.zip

#ReadThis.TXT

Изменено пользователем BrYaNT
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 906

Опубликовано
Опубликовано

Здравствуйте!

 

Скорее всего расшифровки этого типа вымогателя нет.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Ссылка на сообщение
Поделиться на другие сайты
  • 4 weeks later...
BrYaNT

BrYaNT 0

Опубликовано
  • Автор
Опубликовано (изменено)

Был куплен дешифратор. Путем анализа и помощи Sandor + thyrex = заметил одну особенность. Так как ID в самом дешифраторе другой, его можно заменить в самом зашифрованном файле. После запуска он убирает и мыло, и ID и возвращает тип. Но у тех же фото нет ключевых характеристик в свойствах. Глубина фото, высота и ширина. При наведении на файл, он имеет вес. И дату создания. Но не показывает разрешение файла. Ни один файл ни после замены ID ни до после дешифровки не открывается. Условно поломанные. 

 

Я покопался в копии системной папки и заметил такую особенность. В каждой учетке создана папка - Crypto. Пошифрованно было 26.06. Папки созданы 20.06. Так вот в каждой учетке есть две папки. Одна с названием - Keys. Вторая имеет название RSA. Вторая папка у всех имеет еще одно вложение. Папка по типу названия ключа (у всех он разный, у каждой учетки). Но если провалится в саму папку - она пустая. И только у администратора эта папка не пустая и имеет целый набор системных файлов. Если быть точнее 22 файла. Некоторые из файлов как раз 26.06.2021 созданы. Буквально за часа три до атаки. Некоторые и раньше созданы датами. В этих файлах меняется только условно первый набор буквенно-символьных данных до -. Дальше идет повтор (окончание данных файла).

 

На условном сайте https://id-ransomware.blogspot.com/2020/09/flamingo-ransomware.html я заметил что этот .LIZARD шифрует данные AES+RSA.

 

Может кто-то сможет из профи сказать, это каким то образом может помочь в доработке этого дешифратора. Так как на обратный контакт к сожалению уже не идут эти "упыри". Деньги получили - дело в шляпе.

Может у кого опыт был подобного плана? Или это гайки и ничем не помочь пациенту?

 

P.S. Хотя проверил на других системах - такая же папка есть. Так что не вариант.

Изменено пользователем BrYaNT
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 254

Опубликовано
Опубликовано

Доработать невозможно. У каждого пострадавшего свой ключ расшифровки, который зашит в дешифраторе под конкретного пострадавшего.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • AgentSAB
      LIZARD шифровальщик
      От AgentSAB
      Доброго времени суток.
      Пользователь где-то словил шифровальщик LIZARD
      Помогите с дешифровкой.
      Прикрепляю логи, зашифрованные файлы и требование шифровальщика. Сам файл шифровальщика не нашёл.
      Спасибо
      Логи.rar Зашифрованные файлы.rar Требование.rar
    • ВасилийВасильевич
      LIZARD MrDecrypter@yandex.com
      От ВасилийВасильевич
      Здравствуйте.
      У нас 29.01.2021 зашифровались вымогателем почти все необходимые для работы файлы на компьютере с Windows 10 x64.
      Обнаружили это сегодня 01.02.2021.
      В диспетчере задач видны 2 отключенных сеанса пользователя user с правами Администратор, которого у нас не было.
      Поменял ему пароль и права сменил на Пользователь.
      Прикреплены:
      - отчёты программы FRST64.exe,
      - архив, содержащий шифрованный и исходный файл в формате PDF,
      - архив, содержащий шифрованный и исходный файл в формате ZIP,
      - письмо вымогателя в формате TXT,
      - скриншот Диспетчера задач в формате PNG.
      Помогите, пожалуйста, расшифровать. Очень нужны файлы для срочных отчётов.

      FRST.txt Addition.txt PDF_EncryptedPDF.ZIP ZIP.ZIP #ReadThis.TXT
    • Tusoffkin
      Вирус шифровальщик .Summon Summon@nuke.africa
      От Tusoffkin
      Добрый день!
      Вроде тот же шифровальщик, если можете помогите пожалуйста.
       
      Шифрованный файл.rar
    • Григорий Коваль
      Вирус шифровальщик зашифровал данные .donotworry elixuwaril@gmail.com
      От Григорий Коваль
      Сервер 2012. Ночью перегрузился сам и зашифровались все данные на нем. 
      Доступ к серверу был на прямую по статическому ip адресу.
       
      File.zip
    • ENERPRED
      DoNotWorry шифровальщик
      От ENERPRED
      Здравствуйте!
      Были зашифрованы данные на сервере. 
      Зашифрованный файл и его оригинал, с данными шифровщиков в ссылке:
      https://yadi.sk/d/q8lWJDIKfAvxhA
×
×
  • Создать...