• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

8lock8: Описание и вариации

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
4,897
Реакции
6,522
Шифровальщик-вымогатель 8lock8 Ransomware

Этот криптовымогатель шифрует файлы с с помощью алгоритма AES-256. К зашифрованным файлам добавляется расширение .8lock8 .
Записка о выкупе READ_IT.txt написана на английском и русском языках. Размещается на Рабочем столе и в корне каждого диска. Примечательно, что в записке имеются email-адреса, которые указывают на Индию и Индонезию. Создан на основе криптоконструктора HiddenTear.

note.JPG
Рис. Записка о выкупе

Есть сведения, которые связывают 8lock8 с криптовымогателями MireWare и KimcilWare, тоже созданными на основе конструктора HiddenTear, и имеющими в записке о выкупе email тех же регионов. Есть и другие совпадения.

Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .avi, .bmp, .csv, .doc, .docx, .htm, .html, .jpg, .mdb, .odt, .pdf, .php, .png, .ppt, PPTX , .rar, .sln, .sql, .txt, .wav, .xls, .xlsx, .xml, .zip...

Дешифровка 8lock8 возможна!
Буквально сегодня стала возможна дешифровка файлов.
Для расшифровки сначала нужно получить ключ, используя HiddenTear Bruteforcer от Майкла Гиллеспи.

Скачать HiddenTear Bruteforcer >>>

Приготовьте 1 зашифрованный PNG-файл (*.png.8lock8), чем меньше его размер, тем лучше.
Нажмите кнопку "Browse Sample" для загрузки файла в HT BruteForcer (статус файла см. под кнопкой).
Потом выберите режим "EightLockEight" (это и есть 8lock8) в нижней части и нажмите кнопку "Start BruteForce".

HTBrute1.png HTBrute2.png

После того, как ключ (в окне утилиты это Password) будет найден, кликните на "Click here to check file for success" для просмотра дешифрованного файла. Если файл выглядит нормально, то у вас есть правильный ключ!

Теперь нужно скачать HiddenTear Decrypter от Майкла Гиллеспи.

Скачать HiddenTear Decrypter >>>

Получив ключ, скопируйте его и вставьте в HiddenTear Decrypter, введите расширение файлов .8lock8
Выберите папку для дешифровки файлов и нажмите кнопку "Decrypt My Files".
По окончании дешифровки в окне утилиты вы увидите зелёную надпись "Files Decrypted".

HTDecrypt.png

Примечание:
Если хэш (последняя строка случайных букв) в вашей записке с требованием выкупа заканчивается на "AH33", то вы можете пропустить работу с HT Bruteforcer и использовать пароль Whendiplomacyends, Warbegins.1933 . Такое решение возможно, если вредоносному ПО не удалось получить доступ к C&C-серверу.

Источники:
Шифровальщики-вымогатели
8lock8 Help & Support Topic (.8lock8) - READ_IT.txt - Ransomware Tech Support and Help
 
Назад
Сверху Снизу