201 ответов в этой теме

[userr]

Модераторы дайте ответ на почту, офис стоит уже сутки. Тикер в подписе. Спасибо.

Не надо здесь в таком тоне разговаривать. Пожалуйста.

Сутки стоит говорите? Вы просто не понимаете тяжесть случившегося. Если  удастся хоть что-то расшифровать из Ваших файлов, считайте что Вам удивительно повезло. В таком случае Вы будете по гроб жизни обязаны аналитикам, которые работают чуть не круглосуточно над расшифровкой.

[Nikoua]

Извините пожалуста бедного криворукого одмина которого задрала бухгалтерия! Еще раз ИЗВИНИТЕ

[lexusby]

Здравствуйте! Спасибо за Ваши дешифраторы! Интересует вопрос - будет ли еще обновляться версия дешифратора (с исправлением глюка расшифрования одного файла несколько раз) ? Извиняйте если не в тему!

[Igor Zdobnov]

Утилита для расшифровки обновлена http://d.rw/aqq

Добавилась возможность подбора ключа на основе пары зашифрованный/оригинальный файл.

 

Восстановление ключа перебором

•  Берём два файла зашифрованный (encrypted_file.ext) и этот же незашифрованный (original_file.ext)

• Запускаем утилиту te215decrypt.exe -k2 encrypted_file.ext original_file.ext  и долго долго ждем (максимальное время 5ч), в результате при успешном переборе, должен появиться ключик brute.key. Перебор может закончится неудачей если энкодер зашифровал файлы дважды, или был выбран не оригинал зашифрованного файла.
• Запускаем утилиту te215decrypt.exe -k1 расшифровка будет произведена по всем дискам с использованием ключа brute.key
  • Запускаем утилиту te215decrypt.exe -k1 C:\enc_dir\ и указываем где лежат зашифрованные файлы. Расшифровка будет произведена с использованием ключа brute.key Убеждаемся что расшифровака файлов прошла успешно.

[Bobby_ii]

Господа, вы ГРАНДИОЗНЫ !!!

[Гомер]

 

мой вариант - iDxxxxxxx

Может, есть смысл заплатить вирусописакам - посмотреть/отослать вам, что пришлют?

Есть смысл написать заявления в полицию.

 

Обновили утилиту te215decrypt. В версии 1.2.0 добавлена обработка коротких "Ваш ID".

 

Дело в том, что если трояну удается отправить ключ шифрования (уникальный для каждого случая заражения) на сервер злоумышленника, то в файл crypt.txt записывается только короткий ID. Если же по каким то причинам ключ не отправился, т.е. его нет у злоумышленника, то преобразованный ключ шифрования полностью записывается в файл crypt.txt.

 

Утилиту можно использовать в трех случаях:

1. У Вас в корне диска лежит файл C:\crypt.txt, в котором содержится либо короткий ID, либо ключ полностью. Тогда утилиту можно запустить без параметров.

2. Вы знаете короткий "Ваш ID". Тогда его можно указать параметром к утилите. Например: te215decrypt.exe B43E8423

3. Вы не знаете короткого "Ваш ID", но уверены что файлы зашифрованы Trojan.Encoder.215. Тогда вместо "Ваш ID" подставьте значение "серийного номера системного тома" (узнать его можно выполнив консольную команду dir).

 

Для некоторых ID расшифровка файлов возможна. Если же Вы знаете только короткий "Ваш ID" и после нажатия кнопки "продолжить" утилита выдаст сообщение "Неизвестный идентификатор" или "Ошибка обработки данных трояна", то расшифрока этой утилитой невозможна.

 

теперь утилита для этого способа запускается через ключ:

te215decrypt.exe -k3 <id>

[Bobby_ii]

Предыдущая версия сработала странно ...

- на диске С: создала по 20 копий, я их не смотрел - удалил (с пом. анлокера, ОС переставлена, crypt.txt сохранен), там у меня ничего нужного.

- на диске D: создала по 1й копии, часть - нормально расшифрованы, часть - нет.

С чем это может быть связано?

 

Правильно ли я понимаю, что для работы с новой версией надо:

- положить crypt.txt в корень диска С:\ (системного)

- сложить все нерасшифрованные файлы в каралог d:\crypted

- запустить расшифровщик: te215decrypt.exe -k3 483B58C1 d:\crypted

(строка в crypt.txt:

Ваш ID:483B58C1...

)

[Гомер]

Предыдущая версия сработала странно ...

- на диске С: создала по 20 копий, я их не смотрел - удалил (с пом. анлокера, ОС переставлена, crypt.txt сохранен), там у меня ничего нужного.

- на диске D: создала по 1й копии, часть - нормально расшифрованы, часть - нет.

С чем это может быть связано?

 

Правильно ли я понимаю, что для работы с новой версией надо:

- положить crypt.txt в корень диска С:\ (системного)

- сложить все нерасшифрованные файлы в каралог d:\crypted

- запустить расшифровщик: te215decrypt.exe -k3 483B58C1 d:\crypted

(строка в crypt.txt:

Ваш ID:483B58C1...

)

нет только так: 

te215decrypt.exe -k3 483B58C1

[Гомер]

 

Утилита для расшифровки обновлена http://d.rw/aqq

Добавилась возможность подбора ключа на основе пары зашифрованный/оригинальный файл.

 

Восстановление ключа перебором

•  Берём два файла зашифрованный (encrypted_file.ext) и этот же незашифрованный (original_file.ext)

• Запускаем утилиту te215decrypt.exe -k2 encrypted_file.ext original_file.ext  и долго долго ждем (максимальное время 5ч), в результате при успешном переборе, должен появиться ключик brute.key. Перебор может закончится неудачей если энкодер зашифровал файлы дважды, или был выбран не оригинал зашифрованного файла.
• Запускаем утилиту te215decrypt.exe -k1 расшифровка будет произведена по всем дискам с использованием ключа brute.key
  • Запускаем утилиту te215decrypt.exe -k1 C:\enc_dir\ и указываем где лежат зашифрованные файлы. Расшифровка будет произведена с использованием ключа brute.key Убеждаемся что расшифровака файлов прошла успешно.

 

размер фала для перебора должен быть более 512 байт. Иначе будет много коллизий. 

[Bobby_ii]

В каком случае дешифровщику можно указать каталог, с которым работать?

Очень не хочется чтобы дешифровщик опять на системный диск "папрудил".

[tibs]

Огромное спасибо. Ключ сгенерировался за минут 15. Все файлы расшифрованы.

[Bobby_ii]

Может быть такое, что один диск зашифрован одним ключем, другой - другим?

На одном диске всё замечательно расшифровалось, на втором - нет.

Я еще проверю, всех ли это файлов касается. Но пока "без исключений".

И если файл зашифрованы дважды ... и есть незашифрованная копия ... дешифратор подберет ключ?

Перефразирую вопрос: ключ1*ключ2=ключ3 ?

Т.е. последовательное воздействие ключа несколько раз эквивалентно какому-то ключу? (надо знать алгоритм шифровки)

Новая версия утилиты уже не делает 20 копий. И это сильно радует.

[Гомер]

Может быть такое, что один диск зашифрован одним ключем, другой - другим?

На одном диске всё замечательно расшифровалось, на втором - нет.

Я еще проверю, всех ли это файлов касается. Но пока "без исключений".

И если файл зашифрованы дважды ... и есть незашифрованная копия ... дешифратор подберет ключ?

Перефразирую вопрос: ключ1*ключ2=ключ3 ?

Т.е. последовательное воздействие ключа несколько раз эквивалентно какому-то ключу? (надо знать алгоритм шифровки)

Новая версия утилиты уже не делает 20 копий. И это сильно радует.

да это возможно. Тогда придется найти два ключа перебором. Просто сложно найти шифрованную копию, для шифрованного файла дважды. Но попробовать можно. 

[Bobby_ii]

Ура!!!!! Всё расшифровало. Оказалось, по одному диску шифровальщик дважды прошелся.

Ключи искал "на шару" - подсунул хороший файл и файл после первого прохода. Потом файлы с 1го диска - ключ получился такой-же.

Кстати при подсовывании файла хорошего и дважды шифрованного, ключ не нашелся. При подсовывании хорошего файла и "после 1го прохода".

Ключ нашелся тоже не с 1го раза - случайно скормил сразу 2 пары файлов (чтоб 2 ядра грузил) - ключ был найден только для одной.

Это я к чему? Не расшифровывается - не отчаивайтесь, попробуйте дешифровать несколько раз.

 

Теперь о приятном - АВТОМАТИЧЕСКОМ переименовании дешифрованных файлов к исходным именам.

1. Делаем копию ваших зашифрованных файлов (ну мало ли чего ...  - копии всегда делать нужно)

2. Проводим дешифровку. Появляются "копии" файлов вида *.decrypted00.*

3. Если требуется 2й проход, этот ".decrypted00" надо из названий убрать, т.к. дешифровщик "своих" не трогает. Но и для работы это надо сделать.

4. Я использовал широко любимый ТоталКоммандер (он есть "шаровара" с небольшими ограничениями). Скачиваем, устанавливаем, запускаем.

6. Далее - ищем файлы по шаблону *.decrypted00.*. "Файлы на панель" - "выделить всё" - "файл" - "изменить атрибуты" - меняем дату на какую-нибудь, например, 25.04.2013 (ДАТА ДОЛЖНА ОТЛИЧАТЬСЯ ОТ ТОЙ, КОГДА ПОРАБОТАЛ ВИРУС).

7. Далее - ищем файлы с датой когда поработал вирус (вторая вкладка в поиске файлов в ТС), я ставил "с 18.04.2013 по 18.04.2013" - именно тогда поработал вирус. "Файлы на панель" - "выделить всё" - удаляем (у нас-же копия есть. если что!!!)

8. Опять ищем файлы по шаблону *.decrypted00.*, "файлы на панель" - "выделить всё", Файлл-групповое перименование (Ctrl-M). Пишем в окошке "найти"  ".decrypted00" (НЕ ЗАБЫВАЕМ ПРО ТОЧКУ), окошко "Заменить на" оставляем пустым. "Выполнить". Напишет что что-то не смог ... И это хорошо.

9. Опять ищем файлы по шаблону *.decrypted00.* "файлы на панель"-"выделить всё" - удаляем (это те файлы, которые не смогли переименоваться вследствие наличия "оригиналов", не попорченных вирусом)

Всё. Имеем ВСЕ наши файлы в рабочем состоянии. При этом файлы, которые не тронул вирус остались на своих местах. Ничего сортировать не надо!!!

50 000 файлов за 1 час!!! В ручном режиме - 10 000 3мя сотрудниками, с ошибками, за 3 дня!!!

[m1hryta]

Так как всё таки быть пользователям, которые удалили (случайно) файл crypt.txt с системного диска ? Данный дешифратор не расшифровывает никакие данные...

[mrbelyash]

Так как всё таки быть пользователям, которые удалили (случайно) файл crypt.txt с системного диска ? Данный дешифратор не расшифровывает никакие данные...

вестимо писать в вирлаб и присылать файлы.....и ждать ответ на почту

[Гомер]

Так как всё таки быть пользователям, которые удалили (случайно) файл crypt.txt с системного диска ? Данный дешифратор не расшифровывает никакие данные...

 

Написано же выше http://forum.drweb.com/index.php?showtopic=313550&p=665286 как быть в таком случае

[m1hryta]

 

Так как всё таки быть пользователям, которые удалили (случайно) файл crypt.txt с системного диска ? Данный дешифратор не расшифровывает никакие данные...

 

Написано же выше http://forum.drweb.com/index.php?showtopic=313550&p=665286 как быть в таком случае

 

спс. Буду разбираться...

[xotabu4]

Добрый день. [drweb.com #4021562]

 Подскажите, у меня в корне диска есть два файла crypt.txt и decrypt.txt(закодирован). После прохода декриптора некоторые файлы, в том числе decrypt.txt, стали доступны, другие нет. Может ли это означать, что криптор прошёлся дважды и файлы закриптованы двумя ключами?? Какие именно расширения файлов криптуються?? 

[thyrex]

Какие именно расширения файлов криптуються??

Их там около 30, если не больше. Не подсчитывал

Сообщение было изменено thyrex: 04 Май 2013 - 19:47