• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Помогите, пожалуйста, с расшифровкий файлов, зашифрованных HEUR:Trojan-Ransom.Win32.Cryakl.gen.

Статус
В этой теме нельзя размещать новые ответы.

sersh1965

Новый пользователь
Сообщения
10
Реакции
7
Здравствуйте.
01.08.200 был взломан сервер Windows 2003 R2 Standart через RDP и, как следствие, зашифрованы все файлы, кроме тех, что находились на системном диске и файлов с расширением PAS. KVRT2015 определил, что это HEUR:Trojan-Ransom.Win32.Cryakl.gen. Во время инспектирования сервера были обнаружены программы на рабочем столе, а именно cryptor.exe, luisgreenGUI.exe, ns.exe и ipscan25.exe. Они запакованы в архив virus.zip. ipscan25.exe пришлось исключить, так как она слишком большая (20Мб). В архиве virus.zip также находится записка о выкупе how_to_decript.hta. В архиве filеs.zip два файла - оригинальный и зашифрованный. Правда это ARJ-архив.
Файл how_to_decript.hta был удален из всех каталогов.
Есть ли какой-либо шанс на расшифровку файлов? Помогите пожалуйста!
 

Вложения

  • FRST_log.zip
    16.9 KB · Просмотры: 1
  • Files.zip
    582.2 KB · Просмотры: 1
Последнее редактирование модератором:

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,824
Реакции
14,272
Архив virus.zip забрал и удалил. Сервер после переустановки или нужно пролечить?
 

sersh1965

Новый пользователь
Сообщения
10
Реакции
7
Сервер я пролечил просканировал KVRT2015. Был еще один троян, я имя его на записал. Но google подсказал заменить файл sethc.exe в winodws\system32. После замены стало все чисто.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,824
Реакции
14,272
Судя по детекту, это сам шифровальщик. Файл расшифровать удалось, инструкцию сейчас отправлю личным сообщением.
 

sersh1965

Новый пользователь
Сообщения
10
Реакции
7
Дешифровальщик с ключом подошли. Процесс пошел, но займет некоторое время.
 

sersh1965

Новый пользователь
Сообщения
10
Реакции
7
Удалось расшифровать 4 раздела полностью. На пятом разделе половина файлов похоже зашифрована другим ключом. Пару файлов я прикрепил, правда нет исходных.
 

Вложения

  • Files2.zip
    593.8 KB · Просмотры: 1

sersh1965

Новый пользователь
Сообщения
10
Реакции
7
Второй ключ тоже подошел. Расшифровка пятого раздела прошла успешно. Остались еще зашифрованные файлы. Но по ним вопрос такой. Когда я пытаюсь дешифрировать такие файлы со вторым ключом, в поле "Not valid password" появляется значение, равное количеству этих файлов. При попытке дешифрировать первым ключом это поле равно 0, но поле Corrupt равно количеству этих файлов. Надо полагать, что при шифровке они были повреждены и первый ключ для них правильный?
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
3,234
Реакции
2,660
Прислать такие файлы можете?
 

sersh1965

Новый пользователь
Сообщения
10
Реакции
7
Да, конечно. В архиве пара таких файлов.
 

Вложения

  • Files3.zip
    2.3 MB · Просмотры: 2

thyrex

Ассоциация VN/VIP
VIP
Сообщения
3,234
Реакции
2,660
Общий объем всех таких файлов какой?
 

sersh1965

Новый пользователь
Сообщения
10
Реакции
7
Примерно 3.7 Гб. В сновном это файлы образов ext4 упакованной в gzip (каждый около 200Мб). Но что интересно - все файлы имеют расширение либо .tar, либо .tar.gz, либо просто .gz
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
3,234
Реакции
2,660
Выложите на обменник и пришлите ссылку на скачивание в ЛС (в той же самой беседе)
 

sersh1965

Новый пользователь
Сообщения
10
Реакции
7
Все расшифровано. Результат получился слишком отменный. Из порядка 5 Мфайлов не удалось расшифровать только 4 - это просто фантастика. Тему можно закрывать. Большое спасибо thyrex и akok за неоценимую помощь.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу