Jump to content

Not all files can be decrypted (.ZIGGY)


Recommended Posts

Hello. I am trying to use decrypt_Ziggy.exe, Many known file types are decrypted (Microsoft office files, dbf files, etc.), but I cannot decrypt the most important file types ".ert" and ".md" for me. Can anyone help me with this?

"Starting...

 
File: D:\Базы\DB\1\111.ert.id=[88F54427].email=[[email protected]].ziggy
Error: Incorrect keys
 
File: D:\Базы\DB\1\Ведомость.mxl.id=[88F54427].email=[[email protected]].ziggy
Error: Incorrect keys
 
File: D:\Базы\DB\1\Ведомость.xls.id=[88F54427].email=[[email protected]].ziggy
Decrypted: D:\Базы\DB\1\Ведомость.xls
 
Finished!
"
Link to post
Share on other sites

Errors are not for all files. The bottom line of the log has successfully decrypted the "Ведомость.xls" file. In general, all Microsoft office files are decrypted normally. All files of the .dbf type are decrypted fine too.

I attach 2 files. The 293 Kb file is a text file, the second is the program text in the form of structured text.

 

111.ert.id=[88F54427].email=[[email protected]].ziggy 1Cv7.DD.id=[88F54427].email=[[email protected]].ziggy

Link to post
Share on other sites

The official answer from our developer/analyst is that there are different versions of Ziggy each with different ways of differentiating keys, and we'd need a copy of the malicious program that encrypted your files in order to know why our decrypter isn't able to decrypt your files.

Link to post
Share on other sites

For statistics:

"

Starting...

File: D:\Базы\DB\1\3\10shutochki.jpg.id=[88F54427].email=[[email protected]].ziggy
Decrypted: D:\Базы\DB\1\3\10shutochki.jpg

File: D:\Базы\DB\1\3\111.pdf.id=[88F54427].email=[[email protected]].ziggy
Decrypted: D:\Базы\DB\1\3\111.pdf

File: D:\Базы\DB\1\3\CDList.xml.id=[88F54427].email=[[email protected]].ziggy
Decrypted: D:\Базы\DB\1\3\CDList.xml

File: D:\Базы\DB\1\3\Indexes.bat.id=[88F54427].email=[[email protected]].ziggy
Decrypted: D:\Базы\DB\1\3\Indexes.bat

File: D:\Базы\DB\1\3\license.lic.id=[88F54427].email=[[email protected]].ziggy
Error: Incorrect keys

File: D:\Базы\DB\1\3\LM.reg.id=[88F54427].email=[[email protected]].ziggy
Decrypted: D:\Базы\DB\1\3\LM.reg

File: D:\Базы\DB\1\3\plot.log.id=[88F54427].email=[[email protected]].ziggy
Decrypted: D:\Базы\DB\1\3\plot.log

File: D:\Базы\DB\1\3\windows6.1-kb3133977-x64_7c11a96b02a1800067ce6772f6a316021cac2bfb.msu.id=[88F54427].email=[[email protected]].ziggy
Error: Incorrect keys

File: D:\Базы\DB\1\3\а.TTF.id=[88F54427].email=[[email protected]].ziggy
Error: Incorrect keys

File: D:\Базы\DB\1\3\Анализ.htm.id=[88F54427].email=[[email protected]].ziggy
Decrypted: D:\Базы\DB\1\3\Анализ.htm

File: D:\Базы\DB\1\3\АФИНА Стекла.dxf.id=[88F54427].email=[[email protected]].ziggy
Error: Incorrect keys

File: D:\Базы\DB\1\3\АФИНА УЗОР.dwg.id=[88F54427].email=[[email protected]].ziggy
Decrypted: D:\Базы\DB\1\3\АФИНА УЗОР.dwg

File: D:\Базы\DB\1\3\Заказ.mxl.id=[88F54427].email=[[email protected]].ziggy
Error: Incorrect keys

File: D:\Базы\DB\1\3\зп.lnk.id=[88F54427].email=[[email protected]].ziggy
Decrypted: D:\Базы\DB\1\3\зп.lnk

File: D:\Базы\DB\1\3\м3498.mlg.id=[88F54427].email=[[email protected]].ziggy
Error: Incorrect keys

File: D:\Базы\DB\1\3\Монопольно.cmd.id=[88F54427].email=[[email protected]].ziggy
Decrypted: D:\Базы\DB\1\3\Монопольно.cmd

File: D:\Базы\DB\1\3\МСК02012021.zip.id=[88F54427].email=[[email protected]].ziggy
Decrypted: D:\Базы\DB\1\3\МСК02012021.zip

Finished!
"

Quote

I think the issue is due to the files not having a known MIME type

 It even looks like that

Link to post
Share on other sites
23 hours ago, mrd2002 said:

How can I find a copy of the malicious program that encrypted my files?

Let's try getting a log from FRST, and see if it shows any signs of the malware. You can find instructions for downloading and running FRST at the following link:
https://help.emsisoft.com/en/1738/how-do-i-run-a-scan-with-frst/

Link to post
Share on other sites

Привет. Если вы переустановили систему на пострадавшем компьютере, то искать теперь вредоносные файлы не имеет смысла. Даже, если система установлена как обновление, многие места, где могли быть вредоносные файлы в момент шифрования, уже перезаписаны другими файлами. 

Лучше бы вы сразу прикрепили к сообщению архив с теми файлами, которые деширатор не смог расшифровать. Т.е. файлы ".ert" и ".md". Я вижу здесь прикрепленными только ert-файлы. 

Link to post
Share on other sites

Из вашего списка видно, что не были расшифрованы также файлы с первоначальными расширениями 

.lic
.msu
.TTF
.dxf
.mxl
.mlg

Link to post
Share on other sites

Привет. Просто .md слишком большие... Не прикрепляется даже архив. (весит больше 8 Мб)

Может прислать образцы всех файлов из списка? (список я опубликовал только, чтобы подтвердить предположение GT500)

Link to post
Share on other sites
19 minutes ago, Amigo-A said:

искать теперь вредоносные файлы не имеет смысла

по журналу событий я нашел, что все точки восстановления были удалены файлом robosta.exe, которого сейчас на дисках нет. я запустил анализ для восстановления удаленных файлов - может что-то и удастся...

Link to post
Share on other sites

В Runtime GetDataBack есть хороший сценарий, который учитывает установку новой системы. 

scenar01.png.0157d958a866b64718a826c644670348.png

 

Но в реальности это поможет только при ручном удалении файлов, потому что все 'Temp' и 'Temporary' директории были перезаписаны много раз в процессе установки-обновления системы. При этом действии сохраняются только пользовательские данные и лишь некоторые программные. 

Link to post
Share on other sites

Не нужно здесь прикреплять, раз файлы большие.

Залейте на Яндекс-Диск или в другие места:

https://dropmefiles.com/

https://www.sendspace.com/

https://www.microsoft.com/ru-ru/microsoft-365/onedrive/online-cloud-storage

https://www.microsoft.com/ru-ru/microsoft-365/onedrive/download

Готовую ссылку и приложите. Желательно сегодня, а то впереди уикэнд: кто-то в загул, кто-то в отгул, а кто-то с чемоданом в зубах. Разница с вами часов ~ 10. В Америке еще ночь. 

Link to post
Share on other sites

Путь к файлу был C:\Users\Public\robosta.exe. Так что, может и удастся что-то вытянуть...

А если Runtime GetDataBack требует установки, то лучше им не пользоваться, по-моему, чтобы лишний раз не писать ничего на диск

Link to post
Share on other sites

Есть портативная версия - без установки на диск. А вообще-то любой процесс восстановления данных начинается с подключения диска, с которого нужно восстановить данные, как secondary (вторым)

Link to post
Share on other sites

Есть еще способ. Дома можно сделать. Например, у меня под рукой есть USB с 10 и ноутбучный диск с 8.1. Цепляю тот или этот на любой ПК, гружусь с него и потом пострадавший диск подключаю вторым. Эти системы могут загрузиться практически на любом ПК. С диском удобнее тем, что там места много, чтобы восстанавливать файлы с диска, а с флешки тем, что быстрее. При желании есть переходники для SATA на USB. Подойдет даже б/у SATA-диск, даже чуть живой, лишь бы плохие секторы были не в начале, хотя тоже не проблема, можно на время исправить Викторией и отделить при установке системы. Если что, пишите в PM. 

Link to post
Share on other sites

Runtime GetDataBack на втором сервере сейчас прогнал - он ничего не нашел. Но я здесь систему переустановил полностью на пустом диске, чтобы быстрее юзеров запустить работать, а диски с заразой не трогал (ну, может, касперского прогнал с drweb).

А на сервере, где систему переустановил через обновление, rsaver до сих пор крутится

Link to post
Share on other sites
1 hour ago, mrd2002 said:

Но я здесь систему переустановил полностью на пустом диске

😺 тут и коту не унюхать

Link to post
Share on other sites
2 minutes ago, Amigo-A said:

😺 тут и коту не унюхать

не-не. я имею ввиду, что зараженный диск я не трогал. отсоединил физически даже вроде перед переустановкой. ...хотя может и запамятовал...

Link to post
Share on other sites

Ну если всё же не трогали, то шуруйте, только осторожно.

Восстанавливаемые файлы сохраняйте в отдельную папку, exe-файлы - в другую. Они могут быть в разных местах, по-разному восстановленные, в том числе испорченные. Их придется сохранять из программы восстановления поштучно. 

Не запускайте никакие, сразу меняйте у копий расширение exe на .1, .2 и т.д. или .bin1, .bin2, хотя бы. 

Link to post
Share on other sites
On 2/18/2021 at 8:59 AM, GT500 said:

The official answer from our developer/analyst is that there are different versions of Ziggy each with different ways of differentiating keys, and we'd need a copy of the malicious program that encrypted your files in order to know why our decrypter isn't able to decrypt your files.

VirusTotal

Link to post
Share on other sites

We need a file from the user profile folder (C:\Users\<username>\) of the infected computer. It's a DLL file and will have a name that starts with FCYMM followed by some random numbers (and possibly letters). You may need to use the file recovery method that Amigo-A explained for this as well.

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...