iero300

Словил шифратор

Recommended Posts

iero300    0

Здравствуйте всем. Я не являюсь пользователем вашего антивируса, но слышал о том, что если вам предоставить оригинальный файл и зашифрованный, а также вирус, то вы можете попытаться придумать секрет расшифровки. 3 файла я прилагаю в архиве, это сам вирус, оригинал и шифрованный файл. Если вы таким не занимаетесь, то скажите об этом, пожалуйста. Для меня очень важно восстановить зашифрованные файлы.

Оригинал.rar

Infection.7z

Зашифрованный файл.rar

Share this post


Link to post
Share on other sites
Bombus    0

iero300, какой пароль от архива с вирусом и какая у Вас настройка Комодо? Не могу поверить, что Комодо пропустил шифровальщик.

Share this post


Link to post
Share on other sites
Tatiana    2

Добрый день!

Наша лаборатория может сделать декриптер, для этого нужно:

- файлы с их оригинальными названиями

- и оригинальными расширениями

- сообщение, которое у Вас появилось при запуске этого вируса.

 

Вы можете приложить эти файлы здесь или отправить их нам на: [email protected]

Спасо заранее за Вашу помощь :)

Share this post


Link to post
Share on other sites
mik16    0

Добрый день!

Аналогичная тема, просьба помочь, если это возможно. Пользователем Вашего антивируса не являюсь (к сожалению), поэтому компьютер словил шифратор. После заражения на компьютере была полностью перестановлена система, и сохранились только зараженные файлы, поэтому не смогу предоставить ни сообщения вируса, ни его самого. Есть пара файлов, зашифрованный и не зашифрованный, которые по идее должны быть идентичными (оригиналы были скопированы в архив до заражения), но размеры у них почему-то разные. Тем не менее я попытался дешифровать, вот что из этого получилось.

При попытке дешифровать файлы "как есть" - decrypt_Globe и decrypt_Globe2 не запускаются с сообщением "скопируйте оба файла одновременно".. и тд, decrypt_Globe3 - запускается, но ключ расшифровки не находит.

В качестве эксперимента сделал копию оригинального не зашифрованного файла и просто удалил в нем информацию с конца, чтобы размер соответствовал зашифрованному. Шифрованный файл не менял. После чего еще раз запустил дешифровку во всех трех утилитах. Результаты:
decrypt_Globe - не запустился
decrypt_Globe3 - запустился, но ключ не нашел
decrypt_Globe2 - запустился и даже смог частично дешифровать зашифрованный файл. Частично - потому что имя файла не восстановилось, Excel при попытке открыть этот файл сообщил, что файл поврежден, но тем не менее в режиме восстановления практически всю информацию восстановил, при сравнении с оригиналом - содержимое совпало (хотя только визуально в Excel, в двоичном виде файлы все равно разные).

Далее попытался в аналогичном режиме дешифровать сразу группу других файлов в каталоге, но дешифруется почему-то только один - все тот же, который был в паре с "исправленным" оригиналом. То есть файлы без оригинала расшифровать таким образом не получается, а это самое важное.

Как вывод: вирус был именно Globe и дешифровка потенциально возможна. Но по какой-то причине decrypt_Globe2 не хочет декодировать без модификации оригинала (несоответствие по размеру?), а decrypt_Globe3 не может найти ключ.

Может быть есть шанс все-таки дешифровать остальные файлы, для которых оригиналов не сохранилось? Пару "оригинал - шифрованный файл" прилагаю в архиве.

Спасибо Вам заранее за помощь!

files.rar

Share this post


Link to post
Share on other sites

Здравствуйте, mik16!
 

Наш эксперт посмотрел Ваши файлы и говорит, что файлы всё-таки не одинаковые. Globe не меняет размер шифруемых файлов.

Пожалуйста, попробуйте найти и прислать нам хотя бы одну пару идентичных файлов (оригинал/зашифрованный), чтобы специалисты Лаборатории Emsisoft их посмотрели. Например, возможно какой-то из зашифрованных сейчас файлов, Вы отправляли по почте, и он находится у Вас в почтовом ящике или на другом компьютере.

 

С уважением,

Служба поддержки Emsisoft

 

Share this post


Link to post
Share on other sites
asteroid0    0

Добрый день! Ноутбук словил шифратор, судя по всему mrcr. Все файлы стали с расширением *.MERRY. Пробовал использовать ваш дешифратор, но он не срабатывает, выдает ошибку. Прилагаю архив с парой оригинал и шифрованный файл. Заранее спасибо.

1.rar

2.rar

Share this post


Link to post
Share on other sites
mik16    0
On 15.01.2017 at 19:39, Natalya said:

Наш эксперт посмотрел Ваши файлы и говорит, что файлы всё-таки не одинаковые. Globe не меняет размер шифруемых файлов.

Все оказалось именно так, как Вы говорили, спасибо большое! Удалось найти одинаковые файлы (хотя с разной датой оказались) и успешно расшифровать.

Share this post


Link to post
Share on other sites

Здравствуйте, asteroid0!

В Вашем случае пары файлов, увы, пока не помогут. Давайте попробуем найти вариант вашего зловреда у Вас на компьютере. Пришлите логи по инструкциям ниже. Пожалуйста, ничего не удаляйте и не отправляйте пока в карантин (если, конечно, Вы это уже не сделали).

1) Просканируйте систему с помощью нашего бесплатного инструмента Emsisoft Emergency Kit.

http://download11.emsisoft.com/EmsisoftEmergencyKit.exe

  • Скачиваете по ссылке и запускаете из папки EEK файл StartEmergencyKitScanner.exe.
  • Нажмите "Обновить", чтобы получить и установить последние обновления.
  • Нажмите Сканирование >> "Проверка на угрозы"
  • Важно: На этапе выявления зловреда и создания отчёта о сканировании, пожалуйста, ничего не удаляйте и не отправляйте в карантин. Во вкладке "Сканирование" внизу справа кнопка "После проверки". Выберите "Только отчёт" >> "OK".
  • После завершения сканирования сохраните отчёт о результатах сканирования (верхнее меню "Отчёты" >> вкладка "Журнал сканирования" или C:\EEK\Reports\) на Вашем рабочем столе.
  • Выйдете из Emsisoft Emergency Kit.

 

2) Соберите, пожалуйста, лог-файлы при помощи программы Farbar Recovery Scan Tool.
Вы можете загрузить FRST по одной из следующих ссылок и сохранить ее на свой Рабочий стол (как правило, все браузеры автоматически помещают загруженные файлы в папку "Загрузки" - Вам нужно будет переместить загруженный файл на Рабочий стол):

Для версии Windows 32-bit (x86): http://download.bleepingcomputer.com/farbar/FRST.exe

Для версии Windows 64-bit (x64): http://download.bleepingcomputer.com/farbar/FRST64.exe

Примечание: Вам нужно загрузить версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая именно версия Вам подойдет, загрузите обе и попробуйте их запустить. Заработает только одна из них.

1. Загрузите совместимую версию FRST и запустите программу.
2. Когда FRST откроется, нажмите "Yes", чтобы продолжить работу.
3. Убедитесь, что внизу справа стоит галочка для "Addition.txt".
4. Нажмите кнопку 'Scan'.
5. Когда сканирование завершится, оно сохранит логи в текстовом документе под названием 'FRST' в том же месте, откуда Вы запускали программу (если Вы сохранили FRST на своем рабочем столе, то и лог 'FRST' будет сохранен там же).
6. В той же папке будет лог 'Addition'.

 

Заархивируйте 3 полученных файла (файл отчета сканирования EEK, файлы "Addition.txt" и "FRST.txt") и пришлите их мне через личные сообщения на форуме или на адрес [email protected]

 

С уважением,

Служба поддержки Emsisoft

Share this post


Link to post
Share on other sites

Здравствуйте, mik16!

Отличная новость. Хорошо, что Вам удалось успешно использовать декриптор и вернуть назад свои данные.

Теперь самое время поставить надёжную защиту и начать делать регулярное резервное копирование файлов, поскольку эпидемия шифровальщиков ещё идёт. "Анализ поведения", который используется в наших продуктах Emsisoft Anti-Malware и Emsisoft Internet Security, предотвращает запуск любых шифровальщиков-вымогателей. Сейчас, кстати, при покупке любого нашего продукта в комплекте бесплатно идёт программа SyncBackSE как раз для резервного копирования https://www.emsisoft.com/ru/order/software/, то есть вообще идеальный вариант. Но, конечно, стоимость продуктов несоизмерима с затраченными нервами и теоретической вероятностью вообще не вернуть назад свои данные: стоимость "выкупа" может оказаться очень большой для вас или же создатели шифровальщиков могут вообще не выйти с вами на контакт. Декрипторы создаются, но, увы, не для всех программ-шифровальщиков. Из совсем новых шифровальщиков - Spora, у нас в блоге даже была статья о нём недавно, почитайте: http://blog.emsisoft.com/ru/2017/01/10/вымогатели-из-даркнета-новый-шифрова/

Для читателей темы, на всякий случай, приведу ссылку на страницу Emsisoft с нашими бесплатными декрипторами https://decrypter.emsisoft.com/. Для оценки масштаба: под кнопками Download отображается количество скачиваний того или иного декриптора.

 

С уважением,
Служба поддержки Emsisoft

Share this post


Link to post
Share on other sites
kudryaviy    0

Доброго времени суток.

 

Через сервис определения вируса, отправил зашифрованный файл и файл с требованиями, определился как Globe3, скачав дешифратор подсунул два файла, оригинал и уже зашифрованный, дешифратор сообщил что ключ найден, после запустил процесс дешифровки, но было написано что расшифрован только этот файл и все, хотя ничего нового не появилось, что я делаю не так?

Looking for active infection ...
No active infection was found!


Encrypted file: C:\123\C-vLKRm3mlNzIkuSo+fBVg

Finished!
Looking for active infection ...
No active infection was found!


Encrypted file: C:\123\C-vLKRm3mlNzIkuSo+fBVg

Finished!
 

 

Screenshot_1.png
Download Image

Srok_1_class.doc

C-vLKRm3mlNzIkuSo+fBVg

Шифровальщик Екат.html

Share this post


Link to post
Share on other sites

Здравствуйте, kudryaviy!

Если ключ найден, то убедитесь, что отражаются все диски (или разделы диска) Вашего компьютера на шаге 6 (см. pdf-файл по ссылке ниже).

https://decrypter.emsisoft.com/howtos/emsisoft_howto_globe3.pdf

С уважением,
Служба поддержки Emsisoft

Share this post


Link to post
Share on other sites
kudryaviy    0
12 hours ago, Natalya said:

Здравствуйте, kudryaviy!

Если ключ найден, то убедитесь, что отражаются все диски (или разделы диска) Вашего компьютера на шаге 6 (см. pdf-файл по ссылке ниже).

https://decrypter.emsisoft.com/howtos/emsisoft_howto_globe3.pdf

С уважением,
Служба поддержки Emsisoft

Все диски отражаются, пробовал на разных машинах, копировал файлы зашифрованные в отдельные папки, ничего, не расшифровывает.

Share this post


Link to post
Share on other sites

Здравствуйте, kudryaviy!

Если Вы знаете, где именно находятся зашифрованные файлы и можете задать декриптору конкретный путь к папке, то просто добавьте эту папку (Add folder), а потом кликните по ней, выделив её в списке дисков, а ещё лучше вообще уберите из списка сами диски (Remove objects) и оставьте только эту папку. Например, вот так: D:\Globe3 (или любую другую папку, где находятся зашифрованные файлы). Кроме того, на вкладке Options можно снять галочку (хотя это и не рекомендуется делать, если нет уверенности в результате процесса) рядом с Keep encrypted files, и тогда после завершения процесса в исходной папке исчезнут все зашифрованные файлы и останутся только дешифрованные.

У меня Ваш образец прекрасно расшифровался. Пришлите пару других файлов. Если содержание файлов конфиденциально, то пришлите их через личные сообщения на форуме.

С уважением,
Служба поддержки Emsisoft

Globe3.jpg
Download Image

Share this post


Link to post
Share on other sites
kudryaviy    0

Во вложении пара шифрованных файлов попробуйте расшифровать. Отправляю из тех, что есть у меня в расшифрованном виде, для проверки результата.

BsSYNvI+ySRQ+IqZuyZ16hIrdaLJ2QWadgwqWFehT7E

NU-IHexiehzOHhqBnh3AnhIrdaLJ2QWadgwqWFehT7E

Q1xxvw3oBOpSaFu-Fs-C1w

s2TfFY7IfKPDKvgdJwRyg0

Tb6o7UzkcJTPKDGCNkvxyg

Share this post


Link to post
Share on other sites

Здравствуйте, kudryaviy!

Пожалуйста, внимательнее читайте сообщения. На вкладке Options можно снять галочку рядом с Keep encrypted files, и тогда после завершения процесса в исходной папке исчезнут все зашифрованные файлы и останутся только расшифрованные. На Вашем последнем скриншоте присутствуют как зашифрованные, так и расшифрованные. Зашифрованные файлы по-прежнему присутствуют там не потому что декриптор их не видит, а потому что Вы оставили галочку во вкладке Options рядом с Keep encrypted files. Если не хотите, чтобы зашифрованные файлы оставались в папке после расшифровки, пожалуйста, уберите галочку во вкладке. Всё.

Ваши пять расшифрованных файлов во вложении. Всё прекрасно расшифровывается. Декриптор от Emsisoft для зашифрованных Globe3 файлов прекрасно справляется со своей задачей.

 

С уважением,
Служба поддержки Emsisoft

 

3.jpeg 
Download ImageРисунок (2291).jpg
Download Image

02-02-2017 10-56-45.jpg
Download Image

 

Share this post


Link to post
Share on other sites

Пришлите мне, пожалуйста, эти два файла из видео на [email protected]

Share this post


Link to post
Share on other sites

Никита!

Вот эти два зашифрованных файла из видео вместе с их оригиналами, расшифрованными с помощью декриптора. Я использовала этот же самый декриптор, эти же самые файлы и такой же порядок действий как у Вас в видео.

 

02-02-2017 20-48-38.jpg
Download Image

Share this post


Link to post
Share on other sites

Никита!

Нашли вероятную причину. Вы используете версию 1.0.0.12. А текущая версия декриптора для Globe3 - 1.0.0.17 https://decrypter.emsisoft.com/globe3

Пожалуйста, скачивайте актуальные версии только с нашего сайта https://decrypter.emsisoft.com/

Share this post


Link to post
Share on other sites
BUOMEX    0

А не появилось ли решение по шифровальщику *.roto? На вашем сервисе он детектится как gomasom с расширением *.crypt. Интернет по этой теме говорит что раширение *.roto результат работы шифровальщика RotoCrypt и ключ так и не нашли. Спасибо за уделенное внимание заранее. 

[email protected]

Share this post


Link to post
Share on other sites
KAV71    0

Здравствуйте.

Может не в тему, но у меня вопрос: сканируя сторонним сканером , часто нахожу / "lalfiodohdgaejjccfgfmmngggpplmhp"/ - полный путь C:\Users\.......\AppData\Local\Google\Chrome\User Data\Default\Extensions\lalfiodohdgaejjccfgfmmngggpplmhp.

EIS не реагирует на появление- хотя как я понимаю что это какой-то троян. 

Как исправить ситуацию?

Спасибо.

Share this post


Link to post
Share on other sites

Здравствуйте, KAV71!

"lalfiodohdgaejjccfgfmmngggpplmhp" - это расширение Яндекс (Стартовая страница)

https://chrome.google.com/webstore/detail/стартовая-—-яндекс/lalfiodohdgaejjccfgfmmngggpplmhp?hl=en

В зависимости от имеющихся и выбранных настроек Ваш сторонний сканер может определять это расширение как ПНП (потенциально нежелательную программу), но не как троян. Можете добавить в исключения.

Share this post


Link to post
Share on other sites
KAV71    0

Спасибо.

После такой агрессивной политики Яндекса по продвижению своих продуктов,

хочется сам Яндекс добавить в  ПНП.

В исключения добавить конечно можно, но хотелось бы чтобы наоборот антивирус реагировал и предупреждал о расширении которое желает в тихую поменять стартовую страницу и определял как ПНП. Можно ли на данный момент это сделать добавив в "исключения" на блокировку?

 

 

Share this post


Link to post
Share on other sites

Да, антивирус выявляет и уведомляет о ПНП. В частности, мы обнаруживаем установки с предустановленными параметрами Яндекс и предоставляем пользователю выбор действия. Если Вы вспомните, какую бесплатную программу Вы могли устанавливать с отмеченными по умолчанию параметрами Яндекс, то мы проверим наличие её сигнатуры в базе. Если такой нет, то мы добавим.

Сейчас можно просто удалить это расширение в браузере Chrome >> Дополнительная настройки >> Расширения.

 

Share this post


Link to post
Share on other sites
KAV71    0

Спасибо за помощь.
Сейчас обнаружил в приложениях Хрома приложение от Яндекса "Установщик стартовой страницы"  в режиме "отключено".
Естественно было не известно когда установлено без моего прямого на то согласия.

А вот вчера пытался установить игру "Warface" 
с оф. сайта https://wf.mail.ru/  (после установки игра не заработала и я сразу её удалил)  и вот что сейчас обнаружил 
этим же сканером ((adwcl....r)можно ли писать название стороннего "ПО" не знаю так вот что обнарушил:

Папка удалена: C:\Users\@@@@@\AppData\Local\Mail.Ru
[-] Ключ удалён: HKU\S-1-5-21-571959430-4111873956-842323587-1001\Software\Mail.Ru
[#] Ключ удалён при перезагрузке: HKCU\Software\Mail.Ru
[#] Ключ удалён при перезагрузке: [x64] HKCU\Software\Mail.Ru
:: Ключи "Tracing" удалены
:: Настройки Winsock очищены


Было бы ОЧЕНЬ полезно чтобы EIS реагировал на такое "полезное "ПО" (дабавив их в базы) как на потенциально 
нежелательное с возможностью выбора устанавливать или нет. Или дать возможность пользователям добавить их самостоятельно 
(примерно *Yandex*Mail) или чтобы был какой-то список с описание подобных приложений 
с возможностью по выбору самому занести их в базы на блокировку.
Чтобы была реакция антивируса на все их "добрые " приложения до их установки.
Спасибо.
 

Share this post


Link to post
Share on other sites

KAV71!

Мы определяем ПНП-конструкции >> ПНП определяются по сигнатурам >> Сигнатуры находятся в базе >> В базу новые сигнатуры добавляются по факту получения информации

У пользователей есть возможность отправлять в нашу лабораторию файл(-ы) с ПНП-установкой или ссылку на скачивание на адрес [email protected] или через форму отправки https://www.emsisoft.com/ru/support/submit/ Многие пользователи активно участвуют в развитии продукта и отправляют информацию. Участвуйте и Вы хотя бы время от времени.

Важно: отправка файла и/или сообщения на адрес [email protected] не подразумевает ответа, но всё обрабатывается в тот же день. Если конструкция отвечает определениям ПНП (предустановленные значения и пр.), то всё добавляется в базу.

P.S. Если Вы не против, давайте закроем тему ПНП и Emsisoft в ветке пойманных шифраторов и сторонних антивирусных решений. :)

Share this post


Link to post
Share on other sites
KAV71    0

Здравствуйте и спасибо за ответ.

По возможности готов всегда помочь.

Закрываем тему. Удачи Вам .:)

Share this post


Link to post
Share on other sites
DGut    0

Здравствуйте.

Не являясь пользователем Вашего антивирусного ПО, словил шифратор из разновидности Ransom:Win32/Sorikrypt.A. С помощью гугла нашел Ваш прекрасный декриптер https://decrypter.emsisoft.com/xorist,  который смог мне помочь. Но смог помочь только частично. Файлы которых первый символ названия отличался от символов русского алфавита расшифровались "на ура". Но файлы, которые название которых начинается с символа русского алфавита не расшифровываются корректно. Попытка получить отдельный ключ из пары файлов (шифрованный и не шифрованный) у которых первый символ названия из русского алфавита, закончилась неудачей. Утилита не смогла найти ключ. Пробовал трижды, с различными файлами. Размер шифрованного и не шифрованного файла одинаковый. Может ошибаюсь, но сложилось мнение, что при подборе ключа не задействована национальная таблица символов. Если, возможно, помогите пожалуйста!

Прикрепляю два файла.

Логотип ТВ.bmp

Логотип ТВ[email protected]

Share this post


Link to post
Share on other sites

Здравствуйте, DGut!

Отправила Вашу информацию и оба файла в лабораторию. Как только будет какой-то ответ от создателя декриптора, я сразу же Вам сообщу.

  • Upvote 1

Share this post


Link to post
Share on other sites

DGut,

Фабиан сейчас загрузил обновлённую версию декриптора Emsisoft для Xorist. Скачайте его по той же ссылке https://decrypter.emsisoft.com/xorist и попробуйте дешифровать Ваши зашифрованные файлы с кириллическими названиями. Пожалуйста, сообщите потом о результатах.

 

Share this post


Link to post
Share on other sites
DGut    0

Здравствуйте, Наталья.

Огромное спасибо Вам и Фабиану. Все отлично дешифруется! И еще раз спасибо!!!

Share this post


Link to post
Share on other sites

DGut,

Отлично, что все зашифрованные файлы удалось дешифровать. Думаю, что за это время Вы, наверняка, уже многое прочитали про программы-вымогатели, в том числе и у нас на форуме, и в блоге. Но тем не менее, напоминание такого рода лишним никогда не будет. Устраните все уязвимости в Вашей системе; установите защиту в реальном времени, которая способна предотвратить любую активность шифровальщиков и уберечь Ваши файлы от шифрования, например, наш Emsisoft Anti-Malware; периодически делайте резервное копирование важных файлов (на съёмные диски). Существует немалое количество шифровальщиков, создать декрипторы для которых невозможно из-за методов шифрования, используемых их создателями. У нас в блоге недавно была статья на эту тему http://blog.emsisoft.com/ru/2017/06/21/программы-вымогатели-и-методы-шифров/ Поэтому варианта в таком случае будет два: или расстаться с файлами навсегда, или заплатить выкуп криптовымогателям. Увы.

К сожалению, мы наблюдаем тенденцию повторных обращений пострадавших от шифровальщиков. Некоторые люди настолько счастливы, когда удаётся вернуть свои файлы с помощью декрипторов, что совершенно забывают о последующих важных шагах и, по сути, после этого ничего не делают, чтобы избежать повторного заражения и шифрования данных. А зря. ;)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now


  • Recently Browsing   0 members

    No registered users viewing this page.