Как расшифровать файлы после Phobos/8base

[akok]

Общее описание​

Этот инструмент позволяет расшифровать файлы, зашифрованные программами-вымогателями Phobos и 8base.

Примеры зашифрованных имён файлов:​

{Исходное имя файла}.id[{8 случайных символов},-{4 цифры}].[{email}].{расширение}»

Примеры расширений зашифрованных файлов:
.phobos .8base .elbie .faust .LIZARD

Важно

• Если файл повреждён из-за ошибки шифрования, расшифровка невозможна.
• Работа инструмента не гарантирует целостность расшифрованных файлов.

Как использовать PhDec Decryptor​

Шаг 1. Скачайте и запустите инструмент

1. Скачайте PhDec Decryptor. (или на странице nomoreransom.org)
2. Распакуйте и запустите файл Phdec_gui_v*.exe (где * — номер версии).

Примечание:
Инструмент может определяться антивирусом как подозрительный.

Шаг 2. Примите условия использования

• Прочитайте условия и нажмите [Agree], если согласны.

Если появляются диалоги:

• Нажмите [OK], если появилось соответствующее окно.
• 
• Введите пароль и нажмите [Yes], если он будет запрошен.
• 
• При просьбе перезапустить инструмент нажмите [OK] и запустите его снова.
• 

---

Шаг 3. Выберите целевой файл или папку

• Для папки:
  • Нажмите […Folder] и выберите папку, или перетащите её в красное поле.
  • Будут расшифрованы все файлы внутри, включая вложенные папки.
• Для файла:
  • Нажмите […File] и выберите файл, или перетащите его в красное поле.
  • В этом случае будет расшифрован только выбранный файл.

---

Шаг 4. Укажите папку для сохранения расшифрованных файлов

• Нажмите […Folder] в поле "Output folder path" и выберите папку назначения, или перетащите её в красное поле.

Шаг 5. Начните процесс расшифровки

• Нажмите [Decrypt].

Шаг 6. Завершение

• После окончания появится сообщение “Completed.”
• Расшифрованные файлы будут находиться в папке, указанной на Шаге 4.

Итоговая информация после расшифровки​

• Target file(s): общее количество файлов
• Successful file(s): успешно расшифрованные
• Failed file(s): не удалось расшифровать
• Untouched file(s): не обработаны
• Unsupported file(s): исключены (например, повреждены)

Логи и результаты​

• В папке с программой создаются файлы:
  • output_{Date}.txt
  • output_{Date}.csv
  • error.log

В файле output.csv содержатся столбцы:

• filepath – путь к файлу
• decrypted – результат:
  
  • yes – успешно
  • no – ошибка (подробности в логе)
  • no_keys – повреждён ключ
  • corrupted – файл повреждён или неполностью зашифрован

Это перевод оригинального руководства

 

[Severnyj]

Специалисты Лаборатории цифровой криминалистики и исследования вредоносного кода F6 выпустили собственную утилиту для дешифровки файлов, пострадавших в ходе атак программы-вымогателя Phobos.

Российские компании и физические лица, которые ранее пострадали от Phobos, теперь могут бесплатно и безопасно восстановить зашифрованные данные. Инструмент можно скачать на гитхабе F6 DFIR.

17 июля был опубликован декриптор, разработанный специалистами правоохранительных органов Японии. Но эта утилита не поддерживает старые версии Windows и имеет ряд недостатков.

 

[akok]

Обратите внимание, что утилита консольная без GUI

Usage:

PhobosDecryptor [-all] [-r] [-d] [<PATH1>] [<PATH2>] ... [<PATHN>]

-all - Scan all fixed disks.
<PATH1>, <PATH2>, ... <PATHN> - paths to scan.

-r - Replace existing files.
-d - Delete encrypted files and ransom notes.