• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. прошу помощи в расшифровке email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.

Статус
В этой теме нельзя размещать новые ответы.

sasha73

Новый пользователь
Сообщения
4
Реакции
1
Добрый день.

Спасибо за Ваш форум! Хоть какая-то надежда появилась...
Эта версия вируса здесь на форуме встречалась дважды, обоим помогли, здесь и здесь.

Поймали шифрователь 11-го мая, приблизительно в 13:47 (судя по файлу: C:\Users\Admin\AppData\Local\Temp\GHIJKLLLMN.exe). Предположительно, зашел по RDP (сам наглупил, открыл для экспериментов с простым паролем).
Логи системы собрать сложно, т.к. была установлена новая ОС. Но старую ОС (Win7_x64_sp1) я сохранил, при острой необходимести могу скопировать на какой-то HDD и загрузиться в нее.

Думаю, основную часть вредоносных файлов я собрал. Прикладываю архив VirCrypt.zip с паролем "virus" (все пути сохранены) и crypted.zip - пару небольших файлов с примером криптования.
В архиве VirCrypt.zip:
C\Users\Admin\Desktop\RemoteControl\avto1005.exe - похоже, сам криптователь.
C\Users\Admin\AppData\Local\Temp\2354224355 - возможно был ключ шифрования, но в 16:22 стало написано "ended"
На рабочем столе появились: C\Users\Admin\Desktop\Desktop_Locker.exe и C\Users\Admin\Desktop\DesktopLocker.ini

Очень надеюсь на помощь в расшифровке остальных файлов на своем ПК. Заранее благодарен.

P.S.: Если все же придется загрузиться в старую (зашифрованную ОС) - сделаю.
 

Вложения

Если было форматирование, то в логах смысла нет. Ждите ответа @thyrex по поводу расшифровки
 
Последнее редактирование:
Форматирования не было, просто папки винды были переименованы, и установлена новая ОС.
Хорошо, жду ответа.
 
В первом сообщении почему-то не видно файла VirCrypt.zip. Прикладываю архив VirCrypt.zip с паролем "virus" (все пути сохранены).
 
  • Like
Реакции: akok
Это я убрал, там содержится вредоносное ПО, после того как забрали на анализ уже не нужно его держать во вложении.
 
Спасибо, Вам ОГРОМНЕЙШЕЕ !

Расшифровал порядка 300 тыс. файлов! Ни одного не встретилось со статусом "Not valide password", т.е. все было зашифровано одним ключом! Появилось несколько файлов, где к началу имени добавилось "(1)" - на сколько понял, по таким файлам криптователь прошелся дважды - они тоже расшифрованы.

Т.е. просьба исполнена целиком и полностью!

P.S.: Вчера тоже немного успел изучить поведение криптователя. Может кому-то пригодится для дальнейшего изучения...
Оказывается, был действительно заброшен файл avto1005.exe. После его запуска, это он же скопировал себя в темп под случайным именем GHIJKLLLMN.exe. Если у него нет админских прав - он их запрашивает (видать в спешке я где-то согласился).
Файл 2354224355 в темпе - никакой не ключ, там просто ID "2354224355-264642073587818939016183" и действительно после окончания криптования появляется "ended".

Т.е., что бы подбирать ключ, нужно понимать по какому алгоритму он генерится, т.е. глубже изучать код криптователя. Длина ключа 512 байт.

Если не секрет, может знает кто-то, какой функцией шифруются файлы?
 
Там самописное шифрование
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу