Перейти к содержанию

Файлы зашифрованы Trojan.Encoder.32508

BrYaNT
 Share Подписчики 2

Рекомендуемые сообщения

BrYaNT

BrYaNT 0

Опубликовано
Опубликовано (изменено)

Доброе утро.

 

Зашифровало все файлы на сервере, включая базу данных.

Возможно ли дешифровать данные каким либо вариантом с помощью специалистов?

 

Абсолютная безысходность. Бекапы к сожалению были на соседнем диске и их тоже "покушало".

 

Пример зашифрованных файлов во вложении.

 

Заранее спасибо за любую помощь и обратную связь.

 

11VK 300X1000.zip

#ReadThis.TXT

Изменено пользователем BrYaNT
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Здравствуйте!

 

Скорее всего расшифровки этого типа вымогателя нет.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Ссылка на сообщение
Поделиться на другие сайты
  • 4 weeks later...
BrYaNT

BrYaNT 0

Опубликовано
  • Автор
Опубликовано (изменено)

Был куплен дешифратор. Путем анализа и помощи Sandor + thyrex = заметил одну особенность. Так как ID в самом дешифраторе другой, его можно заменить в самом зашифрованном файле. После запуска он убирает и мыло, и ID и возвращает тип. Но у тех же фото нет ключевых характеристик в свойствах. Глубина фото, высота и ширина. При наведении на файл, он имеет вес. И дату создания. Но не показывает разрешение файла. Ни один файл ни после замены ID ни до после дешифровки не открывается. Условно поломанные. 

 

Я покопался в копии системной папки и заметил такую особенность. В каждой учетке создана папка - Crypto. Пошифрованно было 26.06. Папки созданы 20.06. Так вот в каждой учетке есть две папки. Одна с названием - Keys. Вторая имеет название RSA. Вторая папка у всех имеет еще одно вложение. Папка по типу названия ключа (у всех он разный, у каждой учетки). Но если провалится в саму папку - она пустая. И только у администратора эта папка не пустая и имеет целый набор системных файлов. Если быть точнее 22 файла. Некоторые из файлов как раз 26.06.2021 созданы. Буквально за часа три до атаки. Некоторые и раньше созданы датами. В этих файлах меняется только условно первый набор буквенно-символьных данных до -. Дальше идет повтор (окончание данных файла).

 

На условном сайте https://id-ransomware.blogspot.com/2020/09/flamingo-ransomware.html я заметил что этот .LIZARD шифрует данные AES+RSA.

 

Может кто-то сможет из профи сказать, это каким то образом может помочь в доработке этого дешифратора. Так как на обратный контакт к сожалению уже не идут эти "упыри". Деньги получили - дело в шляпе.

Может у кого опыт был подобного плана? Или это гайки и ничем не помочь пациенту?

 

P.S. Хотя проверил на других системах - такая же папка есть. Так что не вариант.

Изменено пользователем BrYaNT
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

Доработать невозможно. У каждого пострадавшего свой ключ расшифровки, который зашит в дешифраторе под конкретного пострадавшего.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • alexgaa
      пострадали от id[0601B927-3352].[5ops1rt3@tuta.io].LIZARD
      От alexgaa
      Здравствуйте.
      При включении компьютера получили сообщение что все файлы закодированы. Клонировали диск, и отдали мне , а родной помножили на 0 восстановив заводскую систему.
      На клоне был найден вирус sql.exe в четырех местах, FRST выполнить не могу, клонированная система не запускается требует WdFilter.sys
      В наличии вирус, записка с требованиями вымогателя, закодированные файлы с расширением id[0601B927-3352].[5ops1rt3@tuta.io].LIZARD , есть файл оригинал закодированного.
      Пока пытаюсь разобраться с запуском клона, чтобы выполнить FRST.
      Сможете помочь с расшифровкой?
      ahiv.7z
    • viert
      Шифровальщик Trojan.Encoder.3953 (*.LIZARD)
      От viert
      Пострадали от шифровальщика Lizard. 
      МОжет кто сможет помочь хотя бы базу 1с поднять.... 
      info.txt Desktop.7z
    • breeze27rus
      Шифровальщик Ransom.Phobos + neshta.a Все файлы с расширением LIZARD
      От breeze27rus
      Прошу помощи в расшифровке файлов (базы 1с и прочие служебные).
       
      Шифровальщик (как назвал его MalwareBytes) Ransom.Phobos, те которые не зашифрованы,  заражены вирусом neshta.a.
       
      Все файлы имеют расширение "LIZARD"
       
      Например
      Файл.txt.id[C80B0F90-3351].[r3wuq@tuta.io].LIZARD
       
      В вложении логи анализа системы Farbar Recovery Scan Tool и файлы с предложением выкупа и пара зашифрованных
      files.rar logs.rar
    • Ольга Б
      Зашифрованы файлы баз 1С
      От Ольга Б
      При запуске программы 1С было сообщение : отсутствует файл базы данных. В каталогах баз данных оказались зашифрованные файлы с датой изменения 09.01.22. 1.22 и т.д
       
       
       
       
    • Nikita44
      Вирусы зашифровали файлы
      От Nikita44
      Добрый день, у меня возникла следующая проблема.
      Вирусы зашифровали файлы на моем сервере, помогите пожалуйста восстановить файлы.
      Вирусную папку с данными прилагаю.
       
       
       
      FinalWire AIDA64 v4.70.3200 RePack (& portable) by KpoJIuK.zip
×
×
  • Создать...