Recommended Posts

Здравствуйте.

Поймали шифровальщик, считаю что это Amnesia. Декриптор Amnesia 2 не дает результатов. Как быть?

Во вложении примеры зашифрованных файлов, требование и предположительно несколько файлов самого вируса.

 

HOW TO RECOVER ENCRYPTED FILES.TXT

Примеры файлов.rar

Осторожно, нашел в папке Music пароль 1.7z

Share this post


Link to post
Share on other sites

Здравствуйте!
Ваш шифовальщик не Amnesia, а Scarab https://id-ransomware.malwarehunterteam.com/identify.php?case=ad18498a40392fc05998570c73f61a794a316eb7
Файл дешифруем при определенных обстоятельствах.
Если вы найдете два  100% одинаковых файла (одного размера) - зашифрованного и незашифрованного и пришлете нам, я смогу уточнить у наших специалистов, смогут ли они вам помочь.

Share this post


Link to post
Share on other sites

Здравствуйте.

Спасибо. Во вложении запрошенные файлы (зашифрованный и расшифрованный самим взломщиком).

Файлы.rar

Share this post


Link to post
Share on other sites

Я передам ваши файлы в нашу лабораторию и сообщу вам, как только придет ответ от них 

Share this post


Link to post
Share on other sites

Для тех, кто зайдет из поиска...

Расширение: .frogo

Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
BTC: 1HyasSC2VifTZo7YkUNn33udnWXw3Ffq7T
Email: [email protected]
BM-2cVYzZcdhqApxNtp9te4N5jKHraYAmG7vv

Это вариант Scarab-Amnesia Ransomware, а описание и другие варианты есть в моем Дайджесте

Все известные нам варианты и версии Scarab Ransomware можно найти в моем списке

 

Share this post


Link to post
Share on other sites

Немного истории... и более того

Ранние версии Scarab Rw по классификации Dr.Web назывались Trojan.Encoder.18000. Файлы почти всех ранних версий можно было расшифровать без проблем. Исключением был, кажется, один вариант, который повреждал файлы. Специалисты Dr.Web брались за расшифровку и после вычисления ключа предлагали пострадавшим приобрести "Пакет спасения", чтобы стать лицензионным пользователем и получить услугу расшифровки. Действующие пользователи продуктов Dr.Web получают (тогда и сейчас) расшифровку бесплатно, если антивирусная защита в момент атаки не была отключена или пользователь сам не настроил пропуск вредоносных файлов с определенной целью (это всегда видно из специальных логов программы). 

В июне 2018 злоумышленники, распространяющие Scarab Rw, обновили основной крипто-конструктор. 
Scarab определялся уже как Trojan.Encoder.18000 v.2 и расшифровка была возможна в некоторых случаях. 

В более новых версиях файл шифровальщика DRWeb детектируется уже как Trojan.Encoder.25574, Trojan.Encoder.26375, возможно есть и новее. Файлы при тех же условиях уже не дешифруются. Требуются некоторые дополнительные данные, чтобы можно было вычислить ключ. Такая возможность встречается всё реже. Видимо нужны дополнительные исследования, способные пролить свет и решить проблему дешифровки...

Почему некоторые антивирусные движки до сих пор топчутся на названии Amnesia?
Хорошо, что не все. Некоторые давно проверяют новые варианты на моем сайте. :)
Другие просто помнят предыдущие обнаружения и сверяются по своей базе. Потому что, см. ниже: 

© Генеалогия Scarab: семейство Globe >> Amnesia > Amnesia-2 >> Scarab > Scarab-Amnesia > Scarab-Osk > {обновленный шифратор} > Scarab-Bomber и другие. 

В статье про Scarab-Bomber Rw я добавил скриншоты 5-й версии крипто-конструктора, который еще недавно использовался. Более ранние были в Amnesia и еще раньше в Globe Rw

На данный момент наблюдается новая волна Scarab-щиков и сегодня мне предстоит добавить несколько новых вариантов в уже существующие группы в Дайджесте. 

И напоследок...

Моя тестовая группа провела специальные испытания и подтвердила один мой эксперимент, который приводит к более рациональному использованию оставленных данных после атаки Scarab. Мы проверяем результаты регулярно, но то, что работает в эксперименте, почти невозможно  перенести на машину, в которой ежечасно рулит его величество Пользователь под учеткой Администратора. И невозможно заранее подготовить ПК перед атакой для всех, кто завтра будет атакован. Проще использовать антивирусную защиту, которая может предотвратить угрозу Ransomware превентивно. 

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.