Решена с расшифровкой. Помощь в расшифровке CryLock 2.0.0.0 [hopeandhonest@smime.ninja].[459A5129-1CEBFAD4]

[Near]

Доброго времени суток! Узнал про возможность расшифровки результатов работы RDP шифровальщика CryLock 2.0.0.0 версии с почтой [hopeandhonest@smime.ninja]. В очередной раз подобно многим прошу помочь с расшифровкой файлов. Система была атакована по RDP 09.03.2021 данным шифровальщиком из-за проброшенных RDP портов на белый статический IP домашнего ПК, после чего все порты были закрыты, был осуществлён полный бэкап затронутых файлов и произведена полная переустановка системы.
Зашифровано было множество случайных файлов в дирректориях объёмом в несколько сотен ГБ за 15-30 минут.
К сообщению прикрепляю пример зашифрованных файлов из случайных дирректорий.

 

[Sandor]

Здравствуйте!

Инструкция отправлена вам личным сообщением.

 

[Near]

Благодарю!

Большая часть файлов расшифровалась (172347). Файлы с диска D в отдельной корневой папке имеют другой пароль (11703). Несколько tar файлов-образов от flashtool помечены повреждёнными (24). В прикреплённом архиве содержится пример нерасшифрованных и повреждённых файлов. Процесс расшифровки очень долгий, занял несколько часов.

Просьба помочь с расшифровкой оставшихся файлов.

 

[Sandor]

Второй ключ отправлен. С повреждёнными - попрошу коллегу посмотреть.

 

[Near]

Большое спасибо! Второй ключ помог расшифровать оставшиеся файлы. Очень много ценных файлов тогда пострадало. Можете повреждённым файлом в примере не заниматься, если всё сложнее стандартных методик расшифровки. Его, как и остальные подобные, можно получить путём переустановки FlashTool'а. Тему можно закрывать.

 

[Sandor]

Отлично!

Возьмите на заметку - Рекомендации после удаления вредоносного ПО

 

[thyrex]

Пришлите все поврежденные файлы

 

[Near]

Пришлите все поврежденные файлы

Всего у меня повреждённых файлов 25. Все они так или иначе связаны с образами Android прошивок. 12 из них полностью повторяются, так как содержатся в дирректории имени пользователя, которая незамеченно дублировалась при копировании (Один путь был \Users\%username%, другой – \Documents and Settings\%username%). Среди 12 повреждённых файлов из одной папки пользователя много повторяющихся самих по себе, так как по какой-то причине FlashTool хранит свою библиотеку образов в папке пользователей в множестве дирректорий, содержимое которых может быть идентичным. Хеш-сумму повреждённых файлов я не проверял, может, они чем-то отличаются, а с солью рансомвари и подавно.

Выкладываю все 12 повреждённых файлов по ссылке ниже. Путь данных повреждённых файлов начинается с %username%\.flashTool\devices\. Если потребуется, могу попробовать достать вам оригинальные файлы и сообщить их дирректории.

Есть ещё один последний файл-образ, который был помечен как повреждённый, который у меня случайным образом зашифровался в другом месте. К счастью, на него у меня есть его незашифрованный вариант, который вместе с предыдущим и ещё 12-ю я выкладываю в гуглодиск, так как к сообщению архив по какой-то причине не прикрепился. Вероятно, из-за превышения объёма.