Pilum

Nemucod шифратор и не срабатывает дешифровщик

Recommended Posts

Здраствуйте.

8.nov.2014 мои файлы были зашифрованы Nemucod  ( по определению "ID Ransomware" )

id.thumb.jpg.68e15e8d83fc4be20b879d3684546b43.jpg
Download Image

У меня есть незашифрованные прототипы файлов-jpg из бэкапа 3dsmax для зашифрованных файлов текстур (.jpg  - и еще - данный вирус зашифровал только .jpg, пропуская .bmp, .tif, и другие файлы - и пропуская не зашифрованными .JPG c расширением большими буквами; но при этом зашифровал например .doc и .cdr)... 
 

Размер файлов-пар почему немного отличается - но это точно оригинальные прототипы из инсталляции без всяких изменений с моей стороны..

filesize.jpg.f45fc0fbec884b1d9128485cdd2b89d2.jpg
Download Image

Загрузил ваш инструмент для дешифровки Nemucod - и он не смог дешифровать и найти ключ

crypt.thumb.jpg.c24a038a50f6ff06690d1c919ba9b338.jpg
Download Image

Что можно сделать, помогите плс ?

в аттачменте еще архив 1.rar - с парами шифрованных-нешифрованных .jpg

1.rar

Share this post


Link to post
Share on other sites

Здравствуйте, Pilum!

 

Как видно на Вашем скриншоте, ID-Ransomware выдал два возможных варианта: Nemucod и Zekwacrypt. Активность Nemucod была замечена только в конце 2015 года. Вы пишите, что Ваши файлы были зашифрованы в 2014 году. Поэтому большая вероятность, что Ваши файлы зашифрованы Zekwacrypt. А статус Zekwacrypt Вы видите. Именно поэтому декриптор для Nemucod не подходит в данном случае.

 

С уважением,

Служба поддержки Emsisoft

Share this post


Link to post
Share on other sites

Но он определяет этот Zekwacrypt  через признак расширения на 7 любых букв, под которые подходит конечно и имеющиеся ".crypted", но понятно что вероятность подобного ничтожна - по сравнению с Nemucod... :) и явно больше ни через что.

'ZekwaCrypt Ransomware (также известный как ZekwaCryptRansomware) представляет собой угрозу, которая была впервые замечена вредоносных программ исследователи в июне 2016 года, но жертв не были найдены назад тогда. ' - http://www.tips2-remove.com/ru/udalit-zekwacrypt-ransomware/

' Метод шифрования ZekwaCrypt Ransomware пока неизвестно, но пользователи смогут признать эту угрозу из-за расширения «.zekwakc» он добавляет к концу имена всех заблокированных файлов (например «spreadsheet.xlsx» будет изменено на «spreadsheet.xlsx.zekwakc»). ' - и т.д. , а ничего подобного не наблюдалось, как и перечисленных именно там кусков вируса  ZekwaCrypt Ransomware, etc на удаление...

То есть сорри - но он подходит еще и значительно меньше, это явно Nemucod :(

 

 

Share this post


Link to post
Share on other sites

Pilum!

 

Пришлите, пожалуйста, другие типы файлов, которые у Вас ещё есть в паре (зашифрованный/оригинал), любые: .txt, .doc, .zip и т.д.

 

P.S. Из источников по теме лучше использовать, например, такие: https://www.bleepingcomputer.com/

 

С уважением,

Служба поддержки Emsisoft

Share this post


Link to post
Share on other sites

C этим, боюсь - проблема... От большинства таких файлов у меня просто нет незашифрованных оригиналов

ProbablyPair.rar - в этом архиве в директории ProbablyPair - возможно, 1.cdr и 1.cdr.crypted. 1.cdr восстановлен из corelov-ского .BAK простым переименованием, но все же не могу поручится за то, что он полностью соответствует зашифрованному.

 

ProbablyPair.rar

Share this post


Link to post
Share on other sites

Добрый день!

Увы, тоже не подходят.

Пожалуйста, попробуйте найти пары среди образцов Windows (из папок Мои рисунки, Музыка и пр.) C:\Users\Public\Pictures\ или подобный путь.

Share this post


Link to post
Share on other sites

Я, помнится, тогда прервал исполнение вируса - и он зашифровал только директории в начале диска - среди которых 3dsmax, клипарты и тому подобное

Весь диск он не зашифровал или там /my documents...

Но конечно я поищу еще.

А как этот шифрует ? или это неизвестно

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now


  • Recently Browsing   0 members

    No registered users viewing this page.