• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. прошу помощи в расшифровке email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2354224355-264642073587818939016183.fname-NTPclient.dpr.doubleoffset

Статус
В этой теме нельзя размещать новые ответы.

sasha73

Новый пользователь
Сообщения
4
Реакции
1
Баллы
3
Добрый день.

Спасибо за Ваш форум! Хоть какая-то надежда появилась...
Эта версия вируса здесь на форуме встречалась дважды, обоим помогли, здесь и здесь.

Поймали шифрователь 11-го мая, приблизительно в 13:47 (судя по файлу: C:\Users\Admin\AppData\Local\Temp\GHIJKLLLMN.exe). Предположительно, зашел по RDP (сам наглупил, открыл для экспериментов с простым паролем).
Логи системы собрать сложно, т.к. была установлена новая ОС. Но старую ОС (Win7_x64_sp1) я сохранил, при острой необходимести могу скопировать на какой-то HDD и загрузиться в нее.

Думаю, основную часть вредоносных файлов я собрал. Прикладываю архив VirCrypt.zip с паролем "virus" (все пути сохранены) и crypted.zip - пару небольших файлов с примером криптования.
В архиве VirCrypt.zip:
C\Users\Admin\Desktop\RemoteControl\avto1005.exe - похоже, сам криптователь.
C\Users\Admin\AppData\Local\Temp\2354224355 - возможно был ключ шифрования, но в 16:22 стало написано "ended"
На рабочем столе появились: C\Users\Admin\Desktop\Desktop_Locker.exe и C\Users\Admin\Desktop\DesktopLocker.ini

Очень надеюсь на помощь в расшифровке остальных файлов на своем ПК. Заранее благодарен.

P.S.: Если все же придется загрузиться в старую (зашифрованную ОС) - сделаю.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,855
Реакции
13,541
Баллы
2,203
Если было форматирование, то в логах смысла нет. Ждите ответа @thyrex по поводу расшифровки
 
Последнее редактирование:

sasha73

Новый пользователь
Сообщения
4
Реакции
1
Баллы
3
Форматирования не было, просто папки винды были переименованы, и установлена новая ОС.
Хорошо, жду ответа.
 

sasha73

Новый пользователь
Сообщения
4
Реакции
1
Баллы
3
В первом сообщении почему-то не видно файла VirCrypt.zip. Прикладываю архив VirCrypt.zip с паролем "virus" (все пути сохранены).
 
  • Like
Реакции: akok

akok

Команда форума
Администратор
Сообщения
17,855
Реакции
13,541
Баллы
2,203
Это я убрал, там содержится вредоносное ПО, после того как забрали на анализ уже не нужно его держать во вложении.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,752
Реакции
2,540
Баллы
593
Проверьте ЛС.
 

sasha73

Новый пользователь
Сообщения
4
Реакции
1
Баллы
3
Спасибо, Вам ОГРОМНЕЙШЕЕ !

Расшифровал порядка 300 тыс. файлов! Ни одного не встретилось со статусом "Not valide password", т.е. все было зашифровано одним ключом! Появилось несколько файлов, где к началу имени добавилось "(1)" - на сколько понял, по таким файлам криптователь прошелся дважды - они тоже расшифрованы.

Т.е. просьба исполнена целиком и полностью!

P.S.: Вчера тоже немного успел изучить поведение криптователя. Может кому-то пригодится для дальнейшего изучения...
Оказывается, был действительно заброшен файл avto1005.exe. После его запуска, это он же скопировал себя в темп под случайным именем GHIJKLLLMN.exe. Если у него нет админских прав - он их запрашивает (видать в спешке я где-то согласился).
Файл 2354224355 в темпе - никакой не ключ, там просто ID "2354224355-264642073587818939016183" и действительно после окончания криптования появляется "ended".

Т.е., что бы подбирать ключ, нужно понимать по какому алгоритму он генерится, т.е. глубже изучать код криптователя. Длина ключа 512 байт.

Если не секрет, может знает кто-то, какой функцией шифруются файлы?
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,752
Реакции
2,540
Баллы
593
Там самописное шифрование
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу