Решена с расшифровкой. Помощь в расшифровке email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-709860117-753367308475071287888706.fname.doubleoffset

Статус
В этой теме нельзя размещать новые ответы.

Maybedec

Новый пользователь
Сообщения
2
Реакции
0
Баллы
1
Девять месяцев назад на один из наших компьютеров через электронную почту пробрался шифровальщик и закодировал расположенные на нем файлы. Логи, к сожалению, предоставить не можем, так как система была переформатирована. Незашифрованные оригиналы, которые могут помочь в анализе, также не сохранились. Прилагаю пример из зашифрованных файлов, судя по именам - составляющие дистрибутива старой версии 1С.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,311
Реакции
13,299
Баллы
2,203
Подождите ответа @thyrex
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,686
Реакции
2,521
Баллы
593
Проверьте ЛС.
 

Maybedec

Новый пользователь
Сообщения
2
Реакции
0
Баллы
1
Большое спасибо, файлы расшифровались. Один нюанс - декриптор не смог найти в автоматическом режиме некоторые файлы, лежащие в глубоко вложенных папках, их пришлось указывать вручную.
Если не секрет, как соотносятся между собой уникальный пользовательский айди и ключ, структура которого, мягко говоря, далека от случайной?
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,686
Реакции
2,521
Баллы
593
Дешифратор оригинальный от самих злоумышленников. Потому все вопросы по его работе к ним :)
ID по сути дела раритет, оставшийся от первых версий, отсылавших ключи на сервера злодеев.
Ключ в том виде, который использует дешифратор, - это трехсимвольное десятичное представление каждого байта ключа шифрования-расшифровки.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу