mrd2002 0 Posted February 15 Report Share Posted February 15 Hello. I am trying to use decrypt_Ziggy.exe, Many known file types are decrypted (Microsoft office files, dbf files, etc.), but I cannot decrypt the most important file types ".ert" and ".md" for me. Can anyone help me with this? "Starting... File: D:\Базы\DB\1\111.ert.id=[88F54427].email=[[email protected]].ziggy Error: Incorrect keys File: D:\Базы\DB\1\Ведомость.mxl.id=[88F54427].email=[[email protected]].ziggy Error: Incorrect keys File: D:\Базы\DB\1\Ведомость.xls.id=[88F54427].email=[[email protected]].ziggy Decrypted: D:\Базы\DB\1\Ведомость.xls Finished! " Quote Link to post Share on other sites
GT500 873 Posted February 16 Report Share Posted February 16 Is it showing that error for all encrypted files, or just some of them? Can you attach a couple of the files you are getting this error message for to a reply? Quote Link to post Share on other sites
mrd2002 0 Posted February 16 Author Report Share Posted February 16 Errors are not for all files. The bottom line of the log has successfully decrypted the "Ведомость.xls" file. In general, all Microsoft office files are decrypted normally. All files of the .dbf type are decrypted fine too. I attach 2 files. The 293 Kb file is a text file, the second is the program text in the form of structured text. 111.ert.id=[88F54427].email=[[email protected]].ziggy 1Cv7.DD.id=[88F54427].email=[[email protected]].ziggy Quote Link to post Share on other sites
mrd2002 0 Posted February 16 Author Report Share Posted February 16 One file was decrypted by the criminal himself during negotiations with him. I attach files before and after decryption too. СпецификацияПоЗапускам.ert СпецификацияПоЗапускам.ert.id=[88F54427].email=[[email protected]].ziggy Quote Link to post Share on other sites
GT500 873 Posted February 17 Report Share Posted February 17 I think the issue is due to the files not having a known MIME type. I'll verify that with the developer. Quote Link to post Share on other sites
mrd2002 0 Posted February 18 Author Report Share Posted February 18 OK. Thank you. Quote Link to post Share on other sites
GT500 873 Posted February 18 Report Share Posted February 18 The official answer from our developer/analyst is that there are different versions of Ziggy each with different ways of differentiating keys, and we'd need a copy of the malicious program that encrypted your files in order to know why our decrypter isn't able to decrypt your files. Quote Link to post Share on other sites
mrd2002 0 Posted February 18 Author Report Share Posted February 18 How can I find a copy of the malicious program that encrypted my files? Quote Link to post Share on other sites
mrd2002 0 Posted February 18 Author Report Share Posted February 18 For statistics: " Starting... File: D:\Базы\DB\1\3\10shutochki.jpg.id=[88F54427].email=[[email protected]].ziggy Decrypted: D:\Базы\DB\1\3\10shutochki.jpg File: D:\Базы\DB\1\3\111.pdf.id=[88F54427].email=[[email protected]].ziggy Decrypted: D:\Базы\DB\1\3\111.pdf File: D:\Базы\DB\1\3\CDList.xml.id=[88F54427].email=[[email protected]].ziggy Decrypted: D:\Базы\DB\1\3\CDList.xml File: D:\Базы\DB\1\3\Indexes.bat.id=[88F54427].email=[[email protected]].ziggy Decrypted: D:\Базы\DB\1\3\Indexes.bat File: D:\Базы\DB\1\3\license.lic.id=[88F54427].email=[[email protected]].ziggy Error: Incorrect keys File: D:\Базы\DB\1\3\LM.reg.id=[88F54427].email=[[email protected]].ziggy Decrypted: D:\Базы\DB\1\3\LM.reg File: D:\Базы\DB\1\3\plot.log.id=[88F54427].email=[[email protected]].ziggy Decrypted: D:\Базы\DB\1\3\plot.log File: D:\Базы\DB\1\3\windows6.1-kb3133977-x64_7c11a96b02a1800067ce6772f6a316021cac2bfb.msu.id=[88F54427].email=[[email protected]].ziggy Error: Incorrect keys File: D:\Базы\DB\1\3\а.TTF.id=[88F54427].email=[[email protected]].ziggy Error: Incorrect keys File: D:\Базы\DB\1\3\Анализ.htm.id=[88F54427].email=[[email protected]].ziggy Decrypted: D:\Базы\DB\1\3\Анализ.htm File: D:\Базы\DB\1\3\АФИНА Стекла.dxf.id=[88F54427].email=[[email protected]].ziggy Error: Incorrect keys File: D:\Базы\DB\1\3\АФИНА УЗОР.dwg.id=[88F54427].email=[[email protected]].ziggy Decrypted: D:\Базы\DB\1\3\АФИНА УЗОР.dwg File: D:\Базы\DB\1\3\Заказ.mxl.id=[88F54427].email=[[email protected]].ziggy Error: Incorrect keys File: D:\Базы\DB\1\3\зп.lnk.id=[88F54427].email=[[email protected]].ziggy Decrypted: D:\Базы\DB\1\3\зп.lnk File: D:\Базы\DB\1\3\м3498.mlg.id=[88F54427].email=[[email protected]].ziggy Error: Incorrect keys File: D:\Базы\DB\1\3\Монопольно.cmd.id=[88F54427].email=[[email protected]].ziggy Decrypted: D:\Базы\DB\1\3\Монопольно.cmd File: D:\Базы\DB\1\3\МСК02012021.zip.id=[88F54427].email=[[email protected]].ziggy Decrypted: D:\Базы\DB\1\3\МСК02012021.zip Finished! " Quote I think the issue is due to the files not having a known MIME type It even looks like that Quote Link to post Share on other sites
mrd2002 0 Posted February 18 Author Report Share Posted February 18 How can I find a copy of the malicious program that encrypted my files? (drweb and kaspersky could not find anything on my computer ... ) Quote Link to post Share on other sites
GT500 873 Posted February 19 Report Share Posted February 19 23 hours ago, mrd2002 said: How can I find a copy of the malicious program that encrypted my files? Let's try getting a log from FRST, and see if it shows any signs of the malware. You can find instructions for downloading and running FRST at the following link:https://help.emsisoft.com/en/1738/how-do-i-run-a-scan-with-frst/ Quote Link to post Share on other sites
mrd2002 0 Posted February 19 Author Report Share Posted February 19 Аnd the fact that I reinstalled windows will not affect? Quote Link to post Share on other sites
mrd2002 0 Posted February 19 Author Report Share Posted February 19 I ran on a computer where I reinstalled windows as an update. I am sending the results: Addition.txt FRST.txt Quote Link to post Share on other sites
Amigo-A 136 Posted February 19 Report Share Posted February 19 Привет. Если вы переустановили систему на пострадавшем компьютере, то искать теперь вредоносные файлы не имеет смысла. Даже, если система установлена как обновление, многие места, где могли быть вредоносные файлы в момент шифрования, уже перезаписаны другими файлами. Лучше бы вы сразу прикрепили к сообщению архив с теми файлами, которые деширатор не смог расшифровать. Т.е. файлы ".ert" и ".md". Я вижу здесь прикрепленными только ert-файлы. Quote Link to post Share on other sites
Amigo-A 136 Posted February 19 Report Share Posted February 19 Из вашего списка видно, что не были расшифрованы также файлы с первоначальными расширениями .lic .msu .TTF .dxf .mxl .mlg Quote Link to post Share on other sites
mrd2002 0 Posted February 19 Author Report Share Posted February 19 Привет. Просто .md слишком большие... Не прикрепляется даже архив. (весит больше 8 Мб) Может прислать образцы всех файлов из списка? (список я опубликовал только, чтобы подтвердить предположение GT500) Quote Link to post Share on other sites
mrd2002 0 Posted February 19 Author Report Share Posted February 19 19 minutes ago, Amigo-A said: искать теперь вредоносные файлы не имеет смысла по журналу событий я нашел, что все точки восстановления были удалены файлом robosta.exe, которого сейчас на дисках нет. я запустил анализ для восстановления удаленных файлов - может что-то и удастся... Quote Link to post Share on other sites
Amigo-A 136 Posted February 19 Report Share Posted February 19 В Runtime GetDataBack есть хороший сценарий, который учитывает установку новой системы. Но в реальности это поможет только при ручном удалении файлов, потому что все 'Temp' и 'Temporary' директории были перезаписаны много раз в процессе установки-обновления системы. При этом действии сохраняются только пользовательские данные и лишь некоторые программные. Quote Link to post Share on other sites
Amigo-A 136 Posted February 19 Report Share Posted February 19 Не нужно здесь прикреплять, раз файлы большие. Залейте на Яндекс-Диск или в другие места: https://dropmefiles.com/ https://www.sendspace.com/ https://www.microsoft.com/ru-ru/microsoft-365/onedrive/online-cloud-storage https://www.microsoft.com/ru-ru/microsoft-365/onedrive/download Готовую ссылку и приложите. Желательно сегодня, а то впереди уикэнд: кто-то в загул, кто-то в отгул, а кто-то с чемоданом в зубах. Разница с вами часов ~ 10. В Америке еще ночь. Quote Link to post Share on other sites
mrd2002 0 Posted February 19 Author Report Share Posted February 19 Путь к файлу был C:\Users\Public\robosta.exe. Так что, может и удастся что-то вытянуть... А если Runtime GetDataBack требует установки, то лучше им не пользоваться, по-моему, чтобы лишний раз не писать ничего на диск Quote Link to post Share on other sites
Amigo-A 136 Posted February 19 Report Share Posted February 19 Есть портативная версия - без установки на диск. А вообще-то любой процесс восстановления данных начинается с подключения диска, с которого нужно восстановить данные, как secondary (вторым). Quote Link to post Share on other sites
mrd2002 0 Posted February 19 Author Report Share Posted February 19 https://disk.yandex.ru/d/lmmHuAPQ-4t5aA я на всякий случай залил туда все файлы, о которых чем здесь говорилось. Чтобы secondary подключить, мне его тогда домой забирать надо - там один пятитерабайтник стоит Quote Link to post Share on other sites
Amigo-A 136 Posted February 19 Report Share Posted February 19 Есть еще способ. Дома можно сделать. Например, у меня под рукой есть USB с 10 и ноутбучный диск с 8.1. Цепляю тот или этот на любой ПК, гружусь с него и потом пострадавший диск подключаю вторым. Эти системы могут загрузиться практически на любом ПК. С диском удобнее тем, что там места много, чтобы восстанавливать файлы с диска, а с флешки тем, что быстрее. При желании есть переходники для SATA на USB. Подойдет даже б/у SATA-диск, даже чуть живой, лишь бы плохие секторы были не в начале, хотя тоже не проблема, можно на время исправить Викторией и отделить при установке системы. Если что, пишите в PM. Quote Link to post Share on other sites
mrd2002 0 Posted February 19 Author Report Share Posted February 19 Runtime GetDataBack на втором сервере сейчас прогнал - он ничего не нашел. Но я здесь систему переустановил полностью на пустом диске, чтобы быстрее юзеров запустить работать, а диски с заразой не трогал (ну, может, касперского прогнал с drweb). А на сервере, где систему переустановил через обновление, rsaver до сих пор крутится Quote Link to post Share on other sites
mrd2002 0 Posted February 19 Author Report Share Posted February 19 2 hours ago, Amigo-A said: пишите в PM торможу - это куда писать? Quote Link to post Share on other sites
Amigo-A 136 Posted February 19 Report Share Posted February 19 1 hour ago, mrd2002 said: торможу - это куда писать? мне в личку (a Personal Message) Quote Link to post Share on other sites
Amigo-A 136 Posted February 19 Report Share Posted February 19 1 hour ago, mrd2002 said: Но я здесь систему переустановил полностью на пустом диске 😺 тут и коту не унюхать Quote Link to post Share on other sites
mrd2002 0 Posted February 19 Author Report Share Posted February 19 2 minutes ago, Amigo-A said: 😺 тут и коту не унюхать не-не. я имею ввиду, что зараженный диск я не трогал. отсоединил физически даже вроде перед переустановкой. ...хотя может и запамятовал... Quote Link to post Share on other sites
Amigo-A 136 Posted February 19 Report Share Posted February 19 Ну если всё же не трогали, то шуруйте, только осторожно. Восстанавливаемые файлы сохраняйте в отдельную папку, exe-файлы - в другую. Они могут быть в разных местах, по-разному восстановленные, в том числе испорченные. Их придется сохранять из программы восстановления поштучно. Не запускайте никакие, сразу меняйте у копий расширение exe на .1, .2 и т.д. или .bin1, .bin2, хотя бы. Quote Link to post Share on other sites
mrd2002 0 Posted February 20 Author Report Share Posted February 20 On 2/18/2021 at 8:59 AM, GT500 said: The official answer from our developer/analyst is that there are different versions of Ziggy each with different ways of differentiating keys, and we'd need a copy of the malicious program that encrypted your files in order to know why our decrypter isn't able to decrypt your files. VirusTotal Quote Link to post Share on other sites
GT500 873 Posted February 21 Report Share Posted February 21 18 hours ago, mrd2002 said: VirusTotal Thanks. I've forwarded the link to our malware analysts. Quote Link to post Share on other sites
GT500 873 Posted February 23 Report Share Posted February 23 We need a file from the user profile folder (C:\Users\<username>\) of the infected computer. It's a DLL file and will have a name that starts with FCYMM followed by some random numbers (and possibly letters). You may need to use the file recovery method that Amigo-A explained for this as well. Quote Link to post Share on other sites
mrd2002 0 Posted Wednesday at 10:30 AM Author Report Share Posted Wednesday at 10:30 AM Quote a name that starts with FCYMM followed by some random numbers (and possibly letters) Unfortunately, I did not find anything similar on the disk either among the existing or among the erased files ... Quote Link to post Share on other sites
mrd2002 0 Posted Thursday at 04:51 AM Author Report Share Posted Thursday at 04:51 AM found the only suspicious .dll because it was modified in a suspicious date range VirusTotal Quote Link to post Share on other sites
GT500 873 Posted Thursday at 05:46 AM Report Share Posted Thursday at 05:46 AM At first glance that DLL file looks legitimate. I'll ask if there's any other information or malware analysts need. Quote Link to post Share on other sites
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.