• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Помогите, пожалуйста, с расшифровкий файлов, зашифрованных HEUR:Trojan-Ransom.Win32.Cryakl.gen.

Статус
В этой теме нельзя размещать новые ответы.

sersh1965

Новый пользователь
Сообщения
10
Реакции
7
Здравствуйте.
01.08.200 был взломан сервер Windows 2003 R2 Standart через RDP и, как следствие, зашифрованы все файлы, кроме тех, что находились на системном диске и файлов с расширением PAS. KVRT2015 определил, что это HEUR:Trojan-Ransom.Win32.Cryakl.gen. Во время инспектирования сервера были обнаружены программы на рабочем столе, а именно cryptor.exe, luisgreenGUI.exe, ns.exe и ipscan25.exe. Они запакованы в архив virus.zip. ipscan25.exe пришлось исключить, так как она слишком большая (20Мб). В архиве virus.zip также находится записка о выкупе how_to_decript.hta. В архиве filеs.zip два файла - оригинальный и зашифрованный. Правда это ARJ-архив.
Файл how_to_decript.hta был удален из всех каталогов.
Есть ли какой-либо шанс на расшифровку файлов? Помогите пожалуйста!
 

Вложения

  • FRST_log.zip
    16.9 KB · Просмотры: 1
  • Files.zip
    582.2 KB · Просмотры: 1
Последнее редактирование модератором:
Архив virus.zip забрал и удалил. Сервер после переустановки или нужно пролечить?
 
Сервер я пролечил просканировал KVRT2015. Был еще один троян, я имя его на записал. Но google подсказал заменить файл sethc.exe в winodws\system32. После замены стало все чисто.
 
Судя по детекту, это сам шифровальщик. Файл расшифровать удалось, инструкцию сейчас отправлю личным сообщением.
 
Дешифровальщик с ключом подошли. Процесс пошел, но займет некоторое время.
 
Удалось расшифровать 4 раздела полностью. На пятом разделе половина файлов похоже зашифрована другим ключом. Пару файлов я прикрепил, правда нет исходных.
 

Вложения

  • Files2.zip
    593.8 KB · Просмотры: 1
Второй ключ тоже подошел. Расшифровка пятого раздела прошла успешно. Остались еще зашифрованные файлы. Но по ним вопрос такой. Когда я пытаюсь дешифрировать такие файлы со вторым ключом, в поле "Not valid password" появляется значение, равное количеству этих файлов. При попытке дешифрировать первым ключом это поле равно 0, но поле Corrupt равно количеству этих файлов. Надо полагать, что при шифровке они были повреждены и первый ключ для них правильный?
 
Прислать такие файлы можете?
 
Да, конечно. В архиве пара таких файлов.
 

Вложения

  • Files3.zip
    2.3 MB · Просмотры: 2
Общий объем всех таких файлов какой?
 
Примерно 3.7 Гб. В сновном это файлы образов ext4 упакованной в gzip (каждый около 200Мб). Но что интересно - все файлы имеют расширение либо .tar, либо .tar.gz, либо просто .gz
 
Выложите на обменник и пришлите ссылку на скачивание в ЛС (в той же самой беседе)
 
Все расшифровано. Результат получился слишком отменный. Из порядка 5 Мфайлов не удалось расшифровать только 4 - это просто фантастика. Тему можно закрывать. Большое спасибо thyrex и akok за неоценимую помощь.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу