Счастливые владельцы зашифрованных файлов могут получить обратно свои ключи/файлы....

отредактировано September 2021 Раздел: Шифровирусы шумной толпою


В связи с тем, что "paycrypt", прежде чем запустить новый вариант бат-энкодера (paycrypt@gmail_com), предоставила в распоряжение вирус_аналитиков несколько мастер-ключей:
:user ID packet: "P-crypt (P-crypt) "
:signature packet: algo 1, keyid 278605395C63D713
5C63D713/591A1333
(sig created 2014-03-01)

:user ID packet: "StyxKey (StyxKey) "
:signature packet: algo 1, keyid BAC121F1F3E75FD0
F3E75FD0/01270FE6
(sig created 2014-05-26)

:user ID packet: "HckTeam (HckTeam) "
:signature packet: algo 1, keyid 528FE439E578490A
E578490A/F107EA9F
(sig created 2014-06-01)
имеем возможность восстановить некоторые ваши файлы, если они были зашифрованы в определенный период времени.

Счастливыми в данном случае окажутся, к сожалению, лишь те, кому выпадет возможность восстановить свой ключ, и использовать его для расшифровки своих данных.

после извлечения секретного ключа из файла KEY.PRIVATE есть возможность восстановить зашифрованные документы (первая половина-июнь 2014 года) с расширением: .unblck@gmail_com/.uncrpt@gmail_com/.unstyx@gmail_com/.paycrypt@gmail_com
----------

добавлю, что с помощью полученных приватных ключей возможно восстановить из KEY.PRIVATE сессионные секретные ключи secring.gpg пользователей, которые могут быть использованы для расшифровки файлов.

(извлекаем из KEY.PRIVATE и импортируем сессионный ключ)
1.
gpg: encrypted with 1024-bit RSA key, ID F107EA9F, created 01.06.2014
"HckTeam (HckTeam) "

File: E:\deshifr\files_encode\BAT.Encoder\[email protected]\3\KEY.PRIVATE
Time: 14.06.2016 20:01:46 (14.06.2016 13:01:46 UTC)

gpg: key 63E66460: already in secret keyring
gpg: Total number processed: 1
gpg: secret keys read: 1
gpg: secret keys unchanged: 1

File: E:\deshifr\files_encode\BAT.Encoder\[email protected]\3\secring.gpg
Time: 14.06.2016 20:02:35 (14.06.2016 13:02:35 UTC)
----------
2.
gpg: encrypted with 1024-bit RSA key, ID F107EA9F, created 01.06.2014
"HckTeam (HckTeam) "

File: E:\deshifr\files_encode\BAT.Encoder\[email protected]\4\KEY.PRIVATE
Time: 14.06.2016 20:07:02 (14.06.2016 13:07:02 UTC)

gpg: key CDB7701B: secret key imported
gpg: key CDB7701B: public key "unstyx (unstyx) " imported
gpg: Total number processed: 1
gpg: imported: 1
gpg: secret keys read: 1
gpg: secret keys imported: 1

- Public keyring updated. -
- Secret keyring updated. -

File: E:\deshifr\files_encode\BAT.Encoder\[email protected]\4\secring.gpg
Time: 14.06.2016 20:08:38 (14.06.2016 13:08:38 UTC)
--------
и т.д.
итого:
ключи secring.gpg с ID:
63E66460: [email protected] DB0E4003: [email protected] CDB7701B: [email protected] + 369AE471: [email protected] 23AE1FA6: [email protected] F4CF450E: .paycrypt@gmail_com
ждут своих владельцев.

+
получены secring.gpg с id
0x6E697C70/0xDF907172 uncrypt , 0xE71BDC55/0x63D1F277 unlock
и passphrase к этим ключам для расшифровки файлов, зашифрованных бат-энкодером с расширением *.PZDC, *.CRYPT, *.GOOD. судя по созданным ключам, данные шифраторы были активны в июле 2014 года, параллельно с другими вариантами бат-энкодера: paycrypt@gmail_com/keybtc@gmail_com.
(спасибо, thyrex, BloodDolly!)


В случае несложных парольных фраз (passphrase) для подбора пароля можно использовать утилиту для распределенного вычисления от Elcomsoft: ElcomSoft Distributed Password Recovery
Elcomsoft Distributed Password Recovery – высокопроизводительное решение для восстановления паролей к различным типам файлов (список поддерживаемых форматов). Программа построена по принципу "клиент-сервер" и позволяет задействовать для перебора паролей все имеющиеся компьютеры.
-------------


Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
«13

Комментарии

  • отредактировано September 2021 PM
    Decrypted: Kaspersky releases free decryptor for CryptXXX Ransomware

    When a user is infected with CryptXXX, all of their data will be encrypted and have the .crypt extension appended to the filenames. The ransomware developers would then demand 500 USD or approximately 1.2 bitcoins to get the decryption key. To make matters worse, this ransomware will also attempt to steal your bitcoin wallet and harvest information and credentials related to your FTP client, instant messenger clients, emails, and browsers.

    Thankfully, yesterday Kaspersky released a free decryptor for this ransomware.


    bleepingcomputer.com

    Лаборатория Касперского и Intel Security/McAfee (видимо в результате удачной охоты за серверами с ключами) выпустили соответственно дешифраторы: ShadeDecryptor. и ShadeDecrypt
    для расшифрования файлов после Ransom.Shade.xtbl/breaking_bad. (он же грозный и непобедимый Filecoder.ED).

    fe0e61dab0a6.jpg

    утилита содержит предположительно свыше 160 000 ключей
    A new tool containing 160.000+ keys will help victims to retrieve their data
    Возможно, кому то из пострадавших повезет оказаться в числе этих 160000, и расшифровать свои данные: xtbl/breaking_bad. Учитывая, что данных шифратор широко распространен в России, так думаю, что многие посетители форумов: virusinfo.info, forum.esetnod32.ru и др., смогут получить ключи и хороший шанс на расшифровку своих данных.

    судя по темам forum.esetnod32.ru ключи в базу по времени шифрования были добавлены в интервале октябрь 2015-февраль 2016. В это время был активен еще xtbl, но затем его активность сменилась на breaking_bad.

    (мне повезло, и я получил по результату тестового шифрования Ransom.Shade.breaking_bad свой ключ и расшифровал файлы.)

    ShadeDecryptor can decrypt files with the following extensions: .xtbl, .ytbl, .breaking_bad, .heisenberg.

    nomoreransom.org

    здесь подробное описание работы с shadedecrypt от McAfee.

    mcafee.com

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано August 2017 PM
    chimera_header-900x317.png

    судя по сообщению hasherezade, получена часть приватных ключей к шифратору Chimera.

    blog.malwarebytes.com

    дамп приватных ключей выложен кем то из разработчиков Petya Ransomware, по его словам, имевшим доступ к части проекта Chimera.

    bleepingcomputer.com


    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано August 2021 PM
    получены мастер-ключи по шифратору CrySiS!

    558s9e39mkdr.jpg

    варианты этого шифратора:
    [email protected]
    [email protected]
    {[email protected]}.xtbl
    [email protected] и многие другие.

    DrWeb приводит более полный список адресов электронной почты, которые используются злоумышленниками для контактов и шифрования файлов.
    Зашифрованные файлы получают суффикс с контактным адресом электронной почты и расширением. Известно два расширения, которые троянец присваивает зашифрованным файлам:

    *.xtbl
    *.CrySiS

    Злоумышленники оставляют следующие электронные адреса:

    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]

    http://vms.drweb.ru/virus/?i=8051858
    Good day everybody, here the master keys for all variants of CrySiS ransomware. It's an array of modulus,private and public exponents.

    The header of encrypted file looks like this:

    Signature(6 ASCII symbols) | SHA1(Modulus)(20 bytes) | AES Init vector(16 bytes) | Padding (4 bytes uint) | RSA_encrypt(AES_KEY|COMPUTERID) | Size of extra header (4 bytes uint)

    Extra header can be found prior to trailer and have following format:

    For older versions it's a zero terminated unicode string which is filename of original file.

    For newer versions:

    Zero(4 byte uint) | Type of encryption(1=partial,2=full) | Magic values(0xFFD1CEFFL for partial,

    0xFFAE50FFL for full) | (size of header-original filename size(offset to filename) |ignorede for full, number of encrypted regions for partial | ignored for full, size of encrypted region if partial | ignored for full, CRC32(Encrypted regions) | ignored for full, offset to encrypted data for partial

    If encryption is partial, there is an encrypted data after header. In both encryption types there is a original filename (unicode string) after headers.

    http://pastebin.com/x1NydTHZ
    http://www.bleepingcomputer.com/forums/t/607680/crysis-extensionid-numberemailxtblcrysis-ransomware-support-topic/page-32#entry4119239

    думаю, в ближайшее время будут готовы универсальные дешифраторы по данному (и очень распространенному в России) шифратору.
    When the released keys were examined by Kaspersky Lab it was determined that these keys were legitimate. Using these keys, Kaspersky have updated their RakhniDecryptor program so that it can now decrypt CrySiS encrypted files.

    http://www.bleepingcomputer.com/news/security/master-decryption-keys-and-decryptor-for-the-crysis-ransomware-released-/

    Лаборатория Касперского добавила решение по расшифровке CrySiS в свою утилиту:
    RakhniDecryptor tool is designed to decrypt files encrypted by:

    Crysis;
    Chimera;
    Rakhni;
    Agent.iih;
    Aura;
    Autoit;
    Pletor;
    Rotor;
    Lamer;
    Lortok;
    Cryptokluchen;
    Democry;
    Bitman (TeslaCrypt) version 3 and 4.
    http://media.kaspersky.com/utilities/VirusUtilities/EN/RakhniDecryptor.zip


    https://threatpost.ru/crysis-ransomware-master-decryption-keys-released/19174/

    компания ESET выпустила дешифратор esetcrysisdecryp­tor

    KB6274Fig1-2b.png

    How do I clean a Crysis infection using the ESET Crysis decryptor?
    http://support.eset.com/kb6274/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано January 2017 PM
    Проверяем в работе дешифратор от ESET: esetcrysisdecryp­tor

    результат расшифровки отличный.
    [email protected]

    [2016.11.22 22:13:22.830] - INFO: 11 infected files found.
    [2016.11.22 22:13:22.830] - INFO: 11 file(s) cleaned.
    [2016.11.22 22:13:24.733] - End

    [email protected]

    [2016.11.22 22:16:25.677] - INFO: 25 infected files found.
    [2016.11.22 22:16:25.677] - INFO: 25 file(s) cleaned.
    [2016.11.22 22:16:27.300] - End

    [email protected]

    [2016.11.22 22:17:56.392] - INFO: 25 infected files found.
    [2016.11.22 22:17:56.392] - INFO: 25 file(s) cleaned.
    [2016.11.22 22:17:57.952] - End

    {[email protected]}.xtbl

    [2016.11.22 22:19:53.501] - INFO: 2 infected files found.
    [2016.11.22 22:19:53.501] - INFO: 2 file(s) cleaned.
    [2016.11.22 22:19:54.905] - End

    {[email protected]}.xtbl

    [2016.11.22 22:22:01.062] - INFO: 4 infected files found.
    [2016.11.22 22:22:01.062] - INFO: 4 file(s) cleaned.
    [2016.11.22 22:22:02.342] - End

    [email protected]

    [2016.11.22 22:23:29.468] - INFO: 6 infected files found.
    [2016.11.22 22:23:29.468] - INFO: 6 file(s) cleaned.
    [2016.11.22 22:23:30.747] - End
    2sb69vhaeixn.jpg
    update:
    В ESET добавили расшифровку расширения .lock

    [2016.11.26 17:43:34.277] - .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT.. Crysis decryptor
    [2016.11.26 17:43:34.279] - .::EE::::EE:SS:::::::.EE....EE....TT...... Version: 2.0.1.0
    [2016.11.26 17:43:34.280] - .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT...... Built: Nov 25 2016
    [2016.11.26 17:43:34.287] - INFO: Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock


    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано December 2016 PM
    Trendo Micro добавил расшифровку CrySiS (xtbl;crypt) в новом обновлении дешифратора:

    Updated: 28 Nov 2016, ver:1.0.1654

    https://success.trendmicro.com/solution/1114221
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано December 2016 PM
    Avast выпустил дешифратор для CrySiS.
    CrySiS

    CrySiS (JohnyCryptor, Virus-Encode, or Aura) is a ransomware strain that has been observed since September 2015. It uses AES256 combined with RSA1024 asymmetric encryption.
    Filename changes:

    Encrypted files have many various extensions, including:
    [email protected],
    [email protected],
    [email protected],
    [email protected],
    .{[email protected]}.CrySiS,
    .{[email protected]}.xtbl,
    .{[email protected]}.xtbl,
    .{[email protected]}.xtbl
    Ransom message:

    After encrypting your files, one of the following messages appears (see below). The message is located in "Decryption instructions.txt", "Decryptions instructions.txt", or "*README.txt" on the user's desktop.

    https://www.avast.com/ransomware-decryption-tools
    http://files.avast.com/files/decryptor/avast_decryptor__crysis.exe
    добавлю, что дешифратор от Avast сыроват, и работает корректно не для всех вариантов расширений.
    Скажем, [email protected], [email protected] не были расшифрованы, в тоже время [email protected] был успешно расшифрован.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано December 2016 PM
    тестировал на виртуальной машине вариант шифратора, который ESET детектирует как CrySiS.H

    https://www.virustotal.com/ru/file/fc1f8ae24231aabe5828c47df970d91a4cfdf89e23117694e38e58e5bd43df9d/analysis/

    в итоге шифрования получаем записку о выкупе Decryption instructions.txt с таким содержанием:
    All of your files are encrypted, to decrypt them write me to email: [email protected]

    и зашифрованные файлы:
    keygpg.rar.id-6827263D.{[email protected]
    readme.txt.id-6827263D.{[email protected]
    и так далее,

    проверил на ID Ransomware по зашифрованному файлу и записке о выкупе, получаю результат:
    This ransomware is decryptable!

    Identified by

    ransomnote_filename: Decryption instructions.txt
    ransomnote_email: [email protected]
    sample_extension: .id-<ID>.{<email>.crypted

    Click here for more information about CrySiS

    запускаю последнюю версию Crysis decryptor

    [2016.11.26 17:43:34.277] - .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT.. Crysis decryptor
    [2016.11.26 17:43:34.279] - .::EE::::EE:SS:::::::.EE....EE....TT...... Version: 2.0.1.0
    [2016.11.26 17:43:34.280] - .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT...... Built: Nov 25 2016
    [2016.11.26 17:43:34.287] - INFO: Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock

    в итоге ничего не могу расшифровать.

    понятно, что Crysis decryptor не поддерживает расширение .crypted для CrySiS.

    переименовал группу зашифрованных файлов из *.crypted в *.crypt и все тестовые расшифровал. :).
    [2016.12.11 21:12:59.611] - INFO: 11 infected files found.
    [2016.12.11 21:12:59.612] - INFO: 11 file(s) cleaned.
    [2016.12.11 21:13:01.395] - End

    Надеюсь, что в новой версии Crysis decryptor будет добавлена поддержка расширения .crypted:
    Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock + .crypted
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано December 2016 PM
    New version of ESETCrysisDecryptor was released:
    [2016.12.12 22:18:04.539] - .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT.. Crysis decryptor
    [2016.12.12 22:18:04.540] - .::EE::::EE:SS:::::::.EE....EE....TT...... Version: 2.0.2.0
    [2016.12.12 22:18:04.541] - .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT...... Built: Dec 12 2016

    [2016.12.12 22:18:04.549] - INFO: Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted
    пример зашифрованного файла:
    keygpg.rar.id-6827263D.{[email protected]
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано December 2016 PM
    Kaspersky Lab пишет, что получена расшифровка для CryptXXX: crypt; cryp1, crypz

    But nothing lasts forever. Today we’re happy to announce that our researchers have managed to find a cure for the third version of CryptXXX trojan, so the .cryp1, .crypt and .crypz files can be decrypted once again. We’ve added the decryption to the Rannoh Decryptor utility, which you can find either at our website or at NoMoreRansom.org.

    https://blog.kaspersky.com/cryptxxx-v3-ransomware/13628/
    +
    Разработан дешифратор для третьей версии CryptXXX
    https://threatpost.ru/new-decryptor-unlocks-cryptxxx-v3-files/19779/
    По crypt расшифровка была ранее. Добавили расшифровку cryp1, crypz. Проверять в работе дешифраторы от ЛК крайне неудобно. Нет функции проверки отдельно каталога с зашифрованными файлами, как это сделано в дешифраторах от ESET, Emsisoft, Avast. Чтобы проверить работоспособность дешифратора, необходимо проверять полностью весь диск, а то и не один. Судя по сообщениям на форуме, далеко не все гладко получается с расшифровкой crypt/cryp1/crypz.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано February 2017 PM
    Avast releases Three more Decryption Tools for Ransomware Victims

    Мы хотели бы отметить, что существуют бесплатные инструменты дешифрования уже имеющиеся для этих штаммов. Исследователи безопасности Майкл Гиллеспи и Фабиан Wosar проделали большую работу и представили свои собственные решения для дешифровки этих штаммов.

    Теперь вы можете быть удивлены, почему мы решили выпустить инструменты для этих штаммов, если другие инструменты уже доступны? Ну, это всегда лучше иметь несколько (бесплатно) вариантов и найти тот, который лучше всего работает для вас.

    HiddenTear
    HiddenTear is one of the first open-sourced ransomware codes hosted on GitHub and dates back to August 2015. Since then, hundreds of HiddenTear variants have been produced by crooks using the original source code. HiddenTear uses AES encryption.

    File name changes: Encrypted files will have one of the following extensions (but not limited to): .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.

    Ransom message: After encrypting files, a text file (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML) appears on the user’s desktop.

    Jigsaw
    Jigsaw is a ransomware strain that has been around since March 2016. It’s named after the movie character “The Jigsaw Killer”. Several variants of this ransomware use the Jigsaw Killer’s picture in the ransom screen.

    File name changes: Encrypted files will have one of the following extensions: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush.

    Stampado
    Stampado is a ransomware strain written using the AutoIt script tool. It has been around since August 2016. It is being sold on the dark web, and new variants keep appearing. One of its versions is also called Philadelphia.

    File name changes: Stampado adds the “.locked” extension to the encrypted files. Some variants also encrypt the filename itself, so the encrypted file name may look like this “document.docx.locked” or 85451F3CCCE348256B549378804965CD8564065FC3F8.locked.

    https://blog.avast.com/avast-releases-three-more-decryption-tools-for-ransomware-victims
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано April 2019 PM
    Alleged Master Keys for the Dharma Ransomware Released on BleepingComputer.com

    558s9e39mkdr.jpg
    Out of the blue, someone posted in the BleepingComputer.com forums the supposed master decryption keys for the Dharma Ransomware. This post was created at 1:42 PM EST by a member named gektar in the Dharma Ransomware Support Topic and contained a Pastebin link to a C header file that supposedly contains these master decryption keys.
    https://www.bleepingcomputer.com/news/security/alleged-master-keys-for-the-dharma-ransomware-released-on-bleepingcomputer-com/

    судя по статье получены мастер-ключи для Crysis.dharma, следует ожидать в ближайшее время расшифровки для данного варианта Grysis.

    подробнее о Dharma Ransomware можно узнать в русском блоге ID Ransomware
    update:
    LK обновила дешифратор RakhniDecryptor до версии 1.17.17 с возможностью расшифровки Crysis.dharma.

    ESET обновил Crysis decryptor до версии 2.0.3 с поддержкой расширения *.dharma
    [2017.03.02 21:11:30.715] - .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT.. Crysis decryptor
    [2017.03.02 21:11:30.715] - .::EE::::EE:SS:::::::.EE....EE....TT...... Version: 2.0.3.0
    [2017.03.02 21:11:30.715] - .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT...... Built: Mar 2 2017
    [2017.03.02 21:11:30.730] - .::EE:::::::::::::SS:.EE..........TT......
    [2017.03.02 21:11:30.730] - .::EEEEEE:::SSSSSS::..EEEEEE.....TT..... Copyright © ESET, spol. s r.o.
    [2017.03.02 21:11:30.730] - ..::::::::::::::::::.................... 1992-2017. All rights reserved.


    [2017.03.02 21:11:30.730] - INFO: Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma
    Yesterday, I wrote about how someone posted in the BleepingComputer.com forums the alleged master decryption keys for the Dharma Ransomware. This was done in the same manner that the keys for Crysis were release, which Dharma is based on.

    Kaspersky has tested the keys and has determined that they are indeed legitimate and can be used to encrypt Dharma encrypted files. These keys have been included in their RakhniDecryptor, which I have tested against a Dharma infection. The decryptor worked flawlessly!

    For those who have been infected by the Dharma ransomware and still have files that are encrypted, you can use the guide below to decrypt the files for free. If you need help decrypting your files, feel free to ask in the Dharma Ransomware Help & Support Topic.

    Update 3/2/17 10:08 AM EST: Right after I posted this article, I saw that ESET also released an updated decryptor that support the Dharma Ransomware. More info here.
    Пресс-релиз о выпуске дешифраторов для Dharma Ransomware на форуме Bleepingcomputer.
    Аваст так же обновил свой дешифратор для Crysis до версии 1.0.52, добавил поддержку расшифровки dharma

    Расшифровки Crysis.wallet пока что нет.
    Trendo Micro добавила расшифровку для Crysis.dharma в дешифратор Ransomware File Decryptor
    Updated: 13 Mar 2017, ver: 1.0.1659

    Crysis .{id}.{email address}.xtbl, .{id}.{email address}.dharma, crypt
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано April 2019 PM
    Выпущен мастер-ключ BTCWare Ransomware, доступен бесплатный дешифратор

    z8ypn0rdqpfl.jpg

    Пользователи, у которых были файлы, зашифрованные с помощью старых версий BTCWare ransomware, могут восстановить свои файлы бесплатно после того, как исследователи безопасности создали decrypter для этого семейства ransomware. Работа над этим дешифратором началась в конце апреля.
    .[< email address >].btcware
    .[< email address >].cryptobyte
    .[< email address >].cryptowin
    .[< email address >].theva
    После выпуска начальной версии BTCWare Decrypter в начале месяца пользователь выпустил мастер-ключ дешифрования для BTCware ransomware на форумах BleepingComputer. Хотя мы не знаем, является ли этот пользователь, называющий себя checker123, автором BTCWare ransomware или членом конкурирующего отряда Ransomware, саботирующего их конкуренцию, мы приветствуем это в любом случае.

    https://www.bleepingcomputer.com/news/security/btcware-ransomware-master-key-released-free-decrypter-available/

    BEGIN RSA PRIVATE KEY
    MIICWwIBAAKBgQCcLarR70p/JVvcJLtMAux3+xw7pftUqJE/mQGgz8FZTf5svodM
    KZBVo6T9gcE9cFR9DsrIWhQ4PmbYbkxqL1f4Kdi/SXSZplZ+ZJ0JzRAW/0PPe+i+
    obKQjPr25iTqQDfP73aXpg2N8N9uiw5oh/nCgjnP4zinN17U4Sdmal2eywIDAQAB
    AoGAUI/GA9DZrsiIoABalRUVAbcIk0RFZyAk/JdinZ9Nb1GqIlIN3J28FFD7tMEP
    +y9Mhc3xkHPW5kRaLN6IkGWnjE9B6mGyjFzT6qHo1TpIVvslo6gEcqlPrPZMzrxh
    S1OrIsM7jRmtO9rKwHZnGmABilb6Fktg+jS+1PuGA/SdZIECQQDMnu9KMUUrk6LD
    ZYVmhBun380QuEfWdJqRoyJx2qxu+1pFFQrmhNYy7fjqwDqj9l6qJkhzjhuGE39m
    viOLltSrAkEAw2TXxQHjD8IHblz6V9/U2JcK9pXXVN1BpcoT52DixaGkR6G3uJhS
    JcJdCWbIzY2xmIYMN/PObLGQ+ysfzeEeYQJANZvGMXfrGVmaoPquEoe1/ythPGor
    WAJApLtKwO17k7ACnGrA6lgPDlTOjCJEusRHVOimvq+SgnQFQtO52E5x9QJAVPrL
    2PPsJBNYFgi8HHHN6XEvpHUg1Njxz0AnDe+WUSvu/fR4qgEdYSy6N/eLB9NDVTmf
    oMoZki5cBtEHoQvyoQJAaPblJj1ltbmKrKzIihD0gP2Kv0FY++EfhUcw089K5t5C
    5U4Gk3cHq1qvflDWYw2Y4cZblC/mCConK5mEHEFjAg==
    END RSA PRIVATE KEY

    https://pastebin.com/r75dnAAG

    https://download.bleepingcomputer.com/demonslay335/BTCWareDecrypter.zip

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано April 2019 PM
    На форуме Bleepingcomputer.com опубликована новая порция мастер-ключей шифратора Crysis для варианта Crysis.wallet,

    558s9e39mkdr.jpg
    Complete set of master keys:

    https://pastebin.com/DXHySphQ

    Enjoy!

    думаю, в ближайшее время будут обновлены дешифраторы от ЛК, Avast, ESET.

    Wallet Ransomware Master Keys Released on BleepingComputer. Avast Releases Free Decryptor
    This morning a newly registered member posted the master decryption keys for the Wallet Ransomware in the BleepingComputer.com forums. This post was created at 9:13 AM EST by a member named lightsentinelone in the Dharma Ransomware Support Topic and contained a Pastebin link.

    https://www.bleepingcomputer.com/news/security/wallet-ransomware-master-keys-released-on-bleepingcomputer-avast-releases-free-decryptor/

    Avast уже обновил дешифратор до версии 1.0.103

    *** UPDATE from May 18, 2017: Avast's free CrySiS ransomware decryption tool now also decrypts .WALLET file extensions***

    http://files.avast.com/files/decryptor/avast_decryptor_crysis.exe

    ЛК обновил RakhniDecryptor до версии 1.19.3.0

    20:25:09.0424 0x0b24 Trojan-Ransom.Win32.Rakhni decryption tool 1.19.3.0 May 18 2017
    20:26:08.0017 0x1150 Found: 33
    20:26:08.0017 0x1150 Decrypted: 33
    20:26:08.0017 0x1150 ================================================================================
    20:26:08.0017 0x1150 Scan finished
    20:26:08.0017 0x1150 ================================================================================
    http://media.kaspersky.com/utilities/VirusUtilities/EN/rakhnidecryptor.zip

    ESET обновил Crysis decryptor до версии 2.0.4
    [2017.05.19 19:18:43.567] - Begin
    [2017.05.19 19:18:43.577] -
    [2017.05.19 19:18:43.577] - ....................................
    [2017.05.19 19:18:43.577] - ..::::::::::::::::::....................
    [2017.05.19 19:18:43.577] - .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT.. Crysis decryptor
    [2017.05.19 19:18:43.577] - .::EE::::EE:SS:::::::.EE....EE....TT...... Version: 2.0.4.0
    [2017.05.19 19:18:43.577] - .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT...... Built: May 19 2017
    [2017.05.19 19:18:43.577] - .::EE:::::::::::::SS:.EE..........TT......
    [2017.05.19 19:18:43.587] - .::EEEEEE:::SSSSSS::..EEEEEE.....TT..... Copyright (c) ESET, spol. s r.o.
    [2017.05.19 19:18:43.587] - ..::::::::::::::::::.................... 1992-2017. All rights reserved.
    [2017.05.19 19:18:43.587] - ....................................
    [2017.05.19 19:18:43.587] -
    [2017.05.19 19:18:43.587] -
    [2017.05.19 19:18:43.587] -
    [2017.05.19 19:18:43.587] - INFO: Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .onion, .wallet

    https://download.eset.com/com/eset/tools/decryptors/crysis/latest/esetcrysisdecryptor.exe
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано April 2019 PM
    Avast выпускает новый инструмент для дешифрования вымогателей BTСWare.

    Jakub Křoustek, 24 May 2017
    Special thanks to Ladislav Zezula for working on this blog post and the decryptor tool!

    If you’ve been hit by the BTCWare ransomware, you can now recover your files without paying the ransom. To decrypt your files, download Avast’s free decryptor tool here.

    BTCWare ransomware began spreading in March 2017. Since then, we have seen five variants, that can be distinguished by the extension of encrypted files:

    foobar.docx.[[email protected]].theva
    foobar.docx.[[email protected]].cryptobyte
    foobar.bmp.[[email protected]].cryptowin
    foobar.bmp.[[email protected]].btcware
    foobar.docx.onyon
    After execution, the ransomware generates a random password (one per machine), which is then used to create of the encryption key. The password is then encrypted with a public key (hardcoded in the binary) and presented as a User ID in the ransom files. The ransomware uses MS CryptoAPI to encrypting files - older samples use the RC4 cipher, newer ones (since May 2017) use AES-192.

    The encrypted symmetric key is stored as a base64-encoded string %USERPROFILE%\Desktop\key.dat.
    On May 16th, 2017, the master private key was published by BleepingComputer. The Avast BTCWare decryptor tool doesn’t use this key, because the key doesn’t work on all variants. Instead, a brute force is used to retrieve the password that has been used by the ransomware to encrypt files.

    6 мая 2017 года главный секретный ключ был опубликован BleepingComputer. дешифратор Avast BTCWare (avast_decryptor_btcware.exe) не использует этот ключ, (потому что ключ не работает для всех вариантов). Взамен, используется brute force ( "грубая сила") для извлечения пароля, который был использован вымогателем для шифрования файлов.

    https://blog.avast.com/avast-releases-decryptor-tool-for-btcware-ransomware

    https://www.avast.com/ransomware-decryption-tools#btcware
    протестировал расшифровку одного из вариантов *.theva
    ключ был найден и все тестовые файлы успешно расшифрованы:
    passw:
    33hmqLLP95F7539eVcB5f53O6JepJ4L3hch3CwmcA0BPTo438OsI3UegKwVWbd93u3700h76o6
    
    добавлю, что данный ключ успешно использован для расшифровки файлов и другим инструментом, созданным М.Гиллеспи
    https://download.bleepingcomputer.com/demonslay335/BTCWareDecrypter.zip
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано April 2019 PM
    AES-NI Ransomware Dev выпускает ключи дешифрования

    q5mfgjca2a1o.jpg
    UPDATE 2: Avast security expert Jakub Kroustek has confirmed that the provided AES-NI master key is indeed authentic, successfully decrypting a version of this ransomware spotted on May 7. Other researchers, including TeslaCrypt expert BloodDolly, have told Bleeping Computers they were also able to unlock older versions of this ransomware. AES-NI victims can use the decrypter included in the download package to unlock their files, but if they don't trust the file, Avast is currently working on its own separate decrypter that will be available shortly.
    ОБНОВЛЕНИЕ 2: Эксперт по безопасности Avast Якуб Кроутек подтвердил, что предоставленный мастер-ключ AES-NI действительно аутентичен и успешно расшифровывает версию этого вымогателя, обнаруженного 7 мая. Другие исследователи, в том числе эксперт TeslaCrypt BloodDolly, сообщили Bleeping Computers, что они также могут разблокировать более старые версии этого шифратора. Жертвы AES-NI могут использовать дешифратор, включенный в пакет загрузки, чтобы разблокировать свои файлы, но если они не доверяют файлу, Avast в настоящее время работает над своим отдельным дешифратором, который будет доступен в ближайшее время.
    RSA 2048 private master key for offline AES-NI keys. https://www.sendspace.com/file/fz133k pass: 85W0vhRkPbqcvaTafHknhMRP

    https://www.bleepingcomputer.com/news/security/aes-ni-ransomware-dev-releases-decryption-keys-amid-fears-of-being-framed-for-xdata-outbreak/
    Создатель AES-NI уже сдержал данное журналистам обещание и окончательно свернул вредоносные операции. Он опубликовал мастер-ключ, подходящий для ряда версий AES-NI, легитимность которого была подтверждена известным ИБ-экспертом Якубом Крустеком (Jakub Kroustek). Теперь пострадавшие могут воспользоваться дешифровальщиком самого хакера, а если нет желания доверять этим файлам, можно подождать релиза бесплатного инструмента компании Avast, работа над которым уже идет полных ходом.
    https://xakep.ru/2017/05/26/aes-ni-keys/
    Avast оперативно выпускает дешифратор для AES-NI

    AES_NI is a ransomware strain that first appeared in December 2016. Since then, we’ve observed multiple variants, with different file extensions. For encrypting files, the ransomware uses AES-256 combined with RSA-2048.

    The ransomware adds one of the following extensions to encrypted files:
    .aes_ni
    .aes256
    .aes_ni_0day

    In each folder with at least one encrypted file, the file "!!! READ THIS - IMPORTANT !!!.txt" can be found. Additionally, the ransomware creates a key file with name similar to: [PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.aes_ni_0day in C:\ProgramData folder.

    The file “!!! READ THIS - IMPORTANT !!!.txt” contains the following ransom note:
    j9hs39gkra83.png

    http://files.avast.com/files/decryptor/avast_decryptor_aes_ni.exe
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано June 2017 PM
    Выпущены мастер-ключи для расшифровки XData Ransomware.
    In what has become a welcome trend, today another ransomware master decryption key was released on BleepingComputer.com. This time the key that was released is for the XData Ransomware that was targeting the Ukraine around May 19th 2017.

    At 12:31PM EST, a new member named guest0987654321 posted a RSA private decryption key in our XData support topic and implied that this was the master decryption key for the ransomware.
    HERE IS PRIVATE:
    
    00 08 00 00 A8 FD 62 08 8C E3 41 9D 55 29 62 01 02 B6 AF A1 3D BE 3A C2 C8 7A 6F D3 37 31 C1 51
    CC ED A5 2E 7D A1 9B 53 01 6C A8 71 F2 E4 BD 51 4E 8B 7E D0 EA 5C 83 2C 36 17 C0 C6 39 3B FE 54
    26 1D E2 42 6E 45 7D CE 1A 8C 1F C0 38 81 6D E8 7C C5 43 EE 28 D8 41 6F 6B 3E 0F 2C 49 05 3B 0B
    74 46 60 93 FD 1D D6 DB F5 21 57 49 3E D5 EB 37 64 DD 2C 2A 0A D8 13 9E B1 38 3D D2 2A 56 92 0E
    76 6D A2 AE 44 57 F7 9C D8 25 5E 62 9B FC FF F3 7F F9 7E A0 DE 57 F7 33 7D 97 7B A1 41 A8 EC AC
    E0 9F D0 06 3D 3D DA F9 64 9B 21 DB F3 D2 94 C8 B9 0C DE A2 3C DE E3 18 A1 46 9B FE AE B0 94 1D
    CC 40 12 4E 5A CE B1 74 BA 4A F2 D2 C7 97 5C 6C B6 BB 6B D1 32 8F F1 63 44 8F AD 58 0D 53 80 B7
    54 A6 C7 05 CD D7 60 FE AB 98 C8 19 17 94 3B 31 14 AF 84 F4 88 B6 68 8D 6B FC FD 84 71 EC F2 36
    39 50 F9 29 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
    00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
    00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
    00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
    00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
    00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
    00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
    00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
    00 01 00 01 22 D7 5B 06 F8 45 42 99 F5 9C FA 9F CA B7 6F AE 86 D4 59 B9 1F 2C 5F 31 E5 07 55 1C
    50 6C 0E CA 6F 0C 8A C1 AA 61 84 B9 39 A2 FF 85 6B F4 46 C9 3C 08 A6 E2 CE A4 47 12 97 6A 4F 1D
    7A 5E 5E EF E3 5C 60 7B C5 ED 6D FE 6B A8 03 C9 13 30 78 B8 F9 A2 DC 9A E4 39 7F 57 5A 16 C1 FD
    B2 93 70 06 13 01 BB F2 CD AF 7A 17 97 E4 F3 02 10 C1 A9 01 62 0A FA C0 95 39 4B 45 B1 84 F7 C8
    13 92 B7 1F 6F CC 9B 2C 9D 03 EE 26 24 7A 5E 19 68 8E C6 D6 6C 98 6E 55 EC 66 26 4A 6C FC 16 82
    A0 00 61 F5 41 51 65 C2 EF 6E ED 33 7F A2 36 C9 BB A7 16 BB 38 1C 1D 3A 65 A9 A8 DD D0 16 49 C1
    34 3E 15 AD 07 C0 33 05 C2 BA 8B 5B A5 75 BF 29 2C 17 95 DD C2 4D 32 0D F5 E9 5D EC D2 7D 77 61
    2F 82 04 3B 89 2A B8 E7 AB D3 90 7D 99 67 CC 16 32 3C CC 5F 2C BF B6 9E 16 D3 9F 74 4A 1E EC C3
    FA E2 B8 81 AE 57 10 04 9A 77 EE 5F BA AF D8 AE 44 C7 BF D0 7D 82 4A 11 8B 22 40 C9 96 96 11 64
    46 A2 07 92 20 57 97 D0 41 C5 36 59 3D 34 C7 EE F7 26 99 76 A1 85 02 0B 8F A1 05 C6 F4 C1 19 44
    38 C3 EC 0D 37 B4 BE B4 D1 5B 59 B2 BA AB 98 6F 7E AD 4C 16 37 6E 25 1F 8C 7C 2D 1D 77 A7 E8 54
    95 3C 66 B3 9D 68 54 86 D8 6A 40 75 02 BF B2 C2 0C A4 65 01 D4 49 7B 47 88 E7 9E A9 F0 C8 42 35
    5C FD 72 DD F8 24 C5 2A 59 8E 4E 52 DB D5 D1 DD 95 5F D5 73 66 C4 7E 54 37 58 3A AE 13 88 68 6B
    2F FC D6 23 B8 21 B1 E0 22 0A E1 9C D7 DA 75 2B 41 5A 7A 7A 98 A2 AE C2 23 9B 4E D6 B4 3F ED 98
    E4 E4 16 E3 0F C0 C5 EC 83 87 CF 45 04 8E EA F6 7D 01 34 17 48 87 1D 72 19 8C 3A 8A 9A EE 8D A6
    5E 59 C8 CC 67 2E E5 51 63 6A 03 C0 FE C0 1E 5F 9A 67 00 7F 7D BA EB CC 87 5A 10 57 AB AC 5C E3
    76 7F 1C BD 6D 78 0F 7F C4 7A 6F FC 3E 1D F2 81 A2 80 86 69 E4 95 2D EB 0C 21 2A EB 29 99 FB 3B
    AA BA 4C E4 AD 58 32 E4 3A 98 19 83 39 52 6E 04 17 BE 6D F8 36 7D 6D 06 53 5E 79 61 2F 08 1C D4
    60 8C 6D 28 F3 84 93 86 B8 3A 92 FD 0E 07 77 44 F3 16 DF C2 C7 75 6A EB FF 6B 6D 6C A6 58 91 22
    A3 3E 75 02 6D 61 38 4A 1F 93 BF FB 79 09 63 B6 42 F7 EA D0 96 3A B9 A4 F6 4A F1 AE A5 99 29 31
    96 BD 32 25 76 82 01 13 C7 AF 79 E2 82 90 EC 68 99 C5 2A 08 B2 24 D7 7C 5A EE 2D 20 23 BD FA B8
    6E 33 9F 05 72 13 CD 82 90 5F 87 FE 42 EC 57 16 F0 60 48 AC 32 27 47 B4 FA 12 5B 25 98 F2 0B 04
    01 14 99 85 99 69 64 5D 1F 38 06 1A 1D 22 30 3E C5 D6 84 4D 36 5B 29 09 EB FF 97 99 C8 82 73 6D
    E8 13 93 1D 63 8D F7 00 D6 AC B3 DC 41 0D F9 B3 88 E6 F6 4A EC FE 0F 4D 1F BB 38 A0 D6 21 3C 3F
    79 C1 1D 35 6F 60 38 AF A6 14 F5 3F 33 33 B6 B3 7D B0 F7 66 81 DF C0 F9 DA 31 AD FC 16 8B 40 1F
    15 71 86 84 2A 3E BC D6 31 79 10 E7 44 77 B7 3A F9 1A A8 5F B1 41 BF 2C 25 F5 E5 37 E1 41 B0 C8
    8E 30 D3 00 B9 5B C2 72 FB 90 E4 EC 59 A5 AA 18 C8 1C 1A 07 4E 0C 0C F7 D5 B9 68 DB 70 D5 A1 A7
    B4 C8 AB E4 0A 76 F6 22 74 91 1A 8A 13 30 C6 06 0A 90 30 70 C6 75 1A 03 44 31 BC A6 0D 89 85 86
    81 0B 3B 80
    


    Now that XData is no longer running on the computer, we can begin to decrypt the encrypted files. First you need to download the RakhniDecryptor, extract the program, and then run it.

    https://www.bleepingcomputer.com/news/security/xdata-ransomware-master-decryption-keys-released-kaspersky-releases-decryptor-/

    Rakhni Decryptor (updated 30-5-2017 with XData)

    рабочая версия дешифратора должна быть 1.20.1.0

    http://www.nomoreransom.org/uploads/RakhniDecryptor.zip
    ESET releases decryptor for AESNI ransomware variants, including XData
    Releasing master keys for older ransomware variants has become somewhat of a trend these days. Shortly after the release of the updated Crysis decryptor, master keys for some of the variants of the AES-NI family were published – specifically Win32/Filecoder.AESNI.B and Win32/Filecoder.AESNI.C, also known as XData.

    Based on this, ESET experts have prepared an AES-NI decryption tool.

    The tool works for files encrypted by the offline RSA key used by AES-NI variant B, which adds the extensions .aes256, .aes_ni, and .aes_ni_0day to the affected files, as well as files affected by AES-NI variant C (or XData) with the extensions .~xdata~.

    https://www.welivesecurity.com/2017/05/31/eset-releases-new-decryption-tool-aes-ni-ransomware/
    [2017.06.01 08:27:46.641] - .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT.. AES-NI decryptor
    [2017.06.01 08:27:46.641] - .::EE::::EE:SS:::::::.EE....EE....TT...... Version: 1.0.0.0
    [2017.06.01 08:27:46.641] - .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT...... Built: May 31 2017
    [2017.06.01 08:27:46.641] - .::EE:::::::::::::SS:.EE..........TT......
    [2017.06.01 08:27:46.641] - .::EEEEEE:::SSSSSS::..EEEEEE.....TT..... Copyright (c) ESET, spol. s r.o.
    [2017.06.01 08:27:46.641] - ..::::::::::::::::::.................... 1992-2017. All rights reserved.

    [2017.06.01 08:27:46.641] - INFO: Supported AES-NI file extensions: .aes256, .aes_ni_0day, .aes_ni, .decrypr_helper@freemail_hu, .~xdata~

    Clean an AES-NI or XData infection using the ESET AES-NI decryptor

    http://support.eset.com/kb6467/

    https://download.eset.com/com/eset/tools/decryptors/aesni/latest/esetaesnidecryptor.exe
    Avast выпустил дешифратор для XDATA, варианта AES_NI,
    XData is a ransomware strain that was derived from AES_NI and like WannaCry, it uses the Eternal Blue exploit to spread to other machines.
    http://files.avast.com/files/decryptor/avast_decryptor__xdata.exe

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано June 2017 PM
    Мы рады сообщить, что Федор Синицын, старший аналитик вредоносных программ в «Лаборатория Касперского», обнаружил слабость в Jaff Ransomware и смог выпустить дешифратор для всех вариантов, выпущенных до настоящего времени. Для тех, кто был заражен Jaff Ransomware и имел свои файлы, зашифрованные расширениями .jaff, .wlu или .sVn, этот дешифратор может бесплатно восстановить ваши файлы.
    https://www.bleepingcomputer.com/news/security/decrypted-kaspersky-releases-decryptor-for-the-jaff-ransomware/

    однако есть и отрицательные отзывы о возможности расшифровки .sVn:
    Beware of this decryptor. I tried it on .sVn encrypted files and most of the restored content is now corrupt. Do not let it delete the original encrypted files. Best try it on a clone of your drive. If you only need to recover a handful of critical files, you may be in luck.
    https://www.bleepingcomputer.com/forums/t/646350/jaff-ransomware-help-support-topic-jaff-decryptor-readmehtml-jaff-svn/#entry4261707

    BloodDolly добавил ремарку по этому отзыву:
    It is not a problem of the decryptor, but Jaff Ransomware itself. There are several bugs in this ransomware and the biggest one is shared crypto context between encryption threads. There is a pretty high chance that AES IV will be overwritten when 2 or more threads are encrypting files in the same time because IV is stored only internally in crypto context. This will lead to corruption of encrypted files. Machines with more CPUs/cores has higher chance for file corruption.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано October 2017 PM
    Security researcher Michael Gillespie has released a new version of the BTCWare ransomware decrypter after the author of the eponymous ransomware has leaked the private key for his latest version.

    The BTCWare author announced this leak on the Bleeping Computer forum thread that offers support for victims of BTCWare infections. BTCWare is one of the most active ransomware families today, which you can easily tell by the size of the support forum threat that has now reached 20 pages, compared to other ransomware support threads that are only 1-2 pages long.

    The crook made his announcement on June 30, saying he plans to officially release the private decryption key in five days, but agreed to provide Gillespie with a copy of the private decryption key in advance after the researcher reached out to verify his identity.
    Below is a list of all the BTCWare file extensions Gillespie's decrypter can handle.

    .[< email address >].btcware
    .[< email address >].cryptobyte
    .[< email address >].cryptowin
    .[< email address >].theva
    .[< email address >].onyon
    .[< email address >].master
    .onyon
    .xfile
    The author's mode of operation was confirmed once more when on July 2 Gillespie spotted a new BTCWare ransomware version that uses a new extension ( .[< email >].aleta ) and tries to call itself Aleta Ransomware.
    https://www.bleepingcomputer.com/news/security/new-btcware-ransomware-decrypter-released-for-the-master-variant/

    http://id-ransomware.blogspot.ru/2017/03/btcware-ransomware.html
    проверено на вариантах .[< email address >].theva, *.onyon: дешифратор рабочий.
    [+] Successfully decrypted key: 33hmqLLP95F7539eVcB5f53O6JepJ4L3hch3CwmcA0BPTo438OsI3UegKwVWbd93u3700h76o6
    Selected directory: E:\deshifr\encode_files\BTCWare\theva\10

    Starting decryption...
    [+] File: E:\deshifr\encode_files\BTCWare\theva\10\15092014 16_55_03.xls decrypted!
    [+] File: E:\deshifr\encode_files\BTCWare\theva\10\AHCI.txt decrypted!
    [+] File: E:\deshifr\encode_files\BTCWare\theva\10\btcware_file.rar decrypted!
    [+] File: E:\deshifr\encode_files\BTCWare\theva\10\inf.txt decrypted!
    [+] File: E:\deshifr\encode_files\BTCWare\theva\10\keygpg.rar decrypted!
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано July 2017 PM
    Выпущен дешифратор для всех трех вариантов оригинальной версии Petya Ransomware: RED/GREEN/GOLDENEYE!

    2zr34cw067qt.jpg

    https://github.com/hasherezade/petya_key/releases
    компания Malwarebytes Labs, совместно с независимой специалисткой, известной под псевдонимом Hasherezade, представила бесплатный декриптор. Подробную инструкцию по использованию инструмента можно найти в блоге компании, а исходники Hasherezade уже опубликовала на GitHub. Как и предполагалось, утилита работает против оригинальной версии шифровальщика, известной как Red Petya или просто Petya, обеих версий Green Petya, объединенного с Mischa, а также Goldeneye.

    https://xakep.ru/2017/07/27/petya-decryptor/




    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано July 2017 PM
    Trendo Micro так же добавили расшифровку вариантов оригинального PETYA RED/GREEN/GOLDENEYE
    The Petya tool has a special UI. To boot your OS back to normal, do the following:

    Select the Petya family on your machine from the ransomware note screen then choose a screen font color from the dropdown option.

    Enter your personal decryption code in the boxes found on the ransomware note screen.

    The decryption code is case sensitive.
    Click the Decrypt Key button to show the decrypt key in the text box.
    On the infected machine, enter the decrypt key from the tool and click Enter to reboot the machine and boot your OS back to normal.

    ncumwizvmgdq.jpg

    http://solutionfile.trendmicro.com/solutionfile/1114221/RansomwareFileDecryptor 1.0.1667 MUI.zip
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано January 2018 PM
    хм, судя по некоторым файлам, возможно данный ключ
    :user ID packet: "HckTeam (HckTeam) "
    :signature packet: algo 1, keyid 528FE439E578490A
    E578490A/F107EA9F
    (sig created 2014-06-01)
    
    использовался злоумышленниками для шифрования KEY.PRIVATE в течение июня 2014 года в bat-encoder с шифрованием *.paycrypt@gmail_com
    (до 28.06.2014 г, когда был выпущен новый ключ с id HckTeam (HckTeam) <[email protected]> и keyid: 0x3639A9EE3ED78E85)

    т.о. я восстановил известным ключом "HckTeam (HckTeam) " несколько сессионных секретных ключей (secring.gpg)

    paycrypt (paycrypt) <[email protected]>
    0x369AE471 (создан 24.06.2014г)
    и расшифровал тестовые файлы от пользователя.
    +
    paycrypt (paycrypt) <[email protected]>
    0x23AE1FA6 (создан 25.06.2014г)
    +
    paycrypt (paycrypt) <[email protected]>
    0xF4CF450E (создан 25.06.2014г)
    добавлю, что наиболее полная и точная информация по bat-encoder была оперативно подготовлена на форуме DrWeb
    Информация по трояну: BAT.Encoder.2. Распространение этого трояна началось в середине мая 2014 года, но модификация с расширением *.paycrypt@gmail_com могла появиться позже.

    Расширение *.keybtc@gmail_com к файлам дописывает BAT.Encoder.23, его распространение началось 06.08.2014, вторая волна - 25.08.2014

    Криптография: GPG. Для paycrypt@gmail_com известны такие ключи: F107EA9F/E578490A и F05CF9EE/3ED78E85. Для unblck@gmail_com известен ключ F107EA9F/E578490A. Для unstyx@gmail_com известны ключи F107EA9F/E578490A и 01270FE6/F3E75FD0

    Для *.keybtc@gmail_com известен ключ A3CE7DBE

    Расшифровка: возможна для некоторых вариантов, которые идентифицируются по ID ключа:

    F05CF9EE/3ED78E85 - нет расшифровки.

    A3CE7DBE/AAB62875 - нет расшифровки.

    AAB62875 - нет расшифровки.

    F107EA9F/E578490A - есть расшифровка

    3DF229D3 - есть расшифровка

    01270FE6/F3E75FD0 - есть расшифровка
    https://forum.drweb.com/index.php?showtopic=318074
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано November 2018 PM
    x4wze381xn0e.jpg
    The Bitdefender Labs team has released the BTCWare decryption tool, available either as a standalone free tool or as part of the Bitdefender Ransomware Recognition tool, which is available for download here (also for free).
    The decryption tool will not run if:

    It can’t find a valid ransom note
    It cannot find a valid encrypted file (i.e a file that is not corrupted)
    It can’t decrypt the User ID field in the ransom note
    It cannot pass the test of decrypting 5 random files in the folder / drive – this helps us protect from corruption files that might be encrypted with a different family of ransomware and that are stored in the same folder as BTCWare-encrypted ransomware.

    Examples of decrypted user-IDs from different malware versions:
    [.cryptobyte] – [SSLL-A332m8UneXS4oom962a4dTTzo-2017-07-31]
    [.onyon] – [DN-19701465958ig2oO1PxH3f32A971dTHXLM7NB0KIjRKV854E197013966619947408188ig2o76E55C60-2017-07-31]
    [.cryptowin] – [ADM-gZ5Lw14Im6qGM9tcv8kfA4sR5-2017-07-31]
    [.theva] -[OBAMA-7P5Yc37RuTFyxwtBVuvIq69SyFj7c728e1TQ3QY1ipWA1gQg4cmu83bGTsX6YwoUqYAGh1i7P92EQ38bMe2008-2017-07-31]
    [.master] – [3-76F93D951D611E203B45894ED48856B2532691C756DF21276E554528B664B5176E55C60-2017-07-31]

    As of the moment of writing this article, this malware family uses 9 different extensions grouped into the 3 encryption algorithms described above. We classify them into 4 different versions using the encryption type, as shown in the table below:
    Ver Extension used Encryption type Ransom-note name Decrypted
    1 .btcware RC4 <1KB chunked #_HOW_TO_FIX.inf YES
    1 .cryptobyte RC4 <1KB chunked #_HOW_TO_FIX.inf YES
    2 .onyon RC4 first 10MB only !#_DECRYPT_#!.inf YES
    2 .xfile RC4 first 10MB only !#_DECRYPT_#!.inf YES
    3 .cryptowin AES192 <1KB chunked #_HOW_TO_FIX.inf YES
    3 .theva AES192 <1KB chunked #_README_#.inf YES
    4 .master AES256 first 10MB only !#_RESTORE_FILES_#!.inf YES
    4 .aleta AES256 first 10MB only !#_READ_ME_#!.inf NO
    4 .blocking AES256 first 10MB only !#_READ_ME_#!.hta NO

    During decryption, a number of logs are generated and saved inside the %temp% folder. There are two types of logs, but the most relevant to the operation is the BitdefenderLog.txt file, where decryption results are stored.
    Чтобы создать наш инструмент, мы использовали скрытые секретные ключи, которые могут расшифровать почти все версии вредоносного ПО (v1, v2 и v3), а также расширение .master в версии 4 вредоносного ПО. Мы также работаем над тем, чтобы добавить некоторые оптимизированные технологии brute force, чтобы охватить случаи, когда полученные приватные ключи не работают.
    https://labs.bitdefender.com/2017/09/btcware-decryption-tool-now-available-for-free/
    p.s.
    видим, что для расшифровки файлов необходима записка о выкупе, несколько зашифрованных файлов, наличие user ID в записке о выкупе, как минимум 5 зашифрованных файлов для проверки.
    добавлю, что в %temp% folder формируется детальный лог BitdefenderLog.txt file:

    theva: (OK)
    Decryptor Started

    Your Files were affected by BTCWare V3 {.cryptowin,.theva} using AES192 with chunk-size = 1KB
    Found a valid ransom-note: [G:\DATA\shifr\encode_files\BTCware\theva\10BitDefender\#_README_#.inf]
    Found a valid user-ID: [xQZ7cYHcLB0xWev/2Ges51n7PfSX7v/E0VStm5Fyfb+ULKLBA/QyofB8+nW9G1Gu4bToCl+DctS67Hpl7I4KrMsvRwh7Ze87bYhSzOsKCUg4d3jCY1p7SFl/9t6eKv6DNc5FHsCJtIKb3B1edPGGhiVAeycew/5IXD9hdHJGTaA=]
    Decrypted user-ID: [SX-33hmqLLP95F7539eVcB5f53O6JepJ4L3hch3CwmcA0BPTo438OsI3UegKwVWbd93u3700h76o6-2015-07-08]
    Searching for encrypted files: [50] encrypted files found
    Testing decryption for 5 random encrypted files:
    ...
    Probing Finished [SUCCESS]


    Decrypt Files:
    Decrypt [G:\DATA\shifr\encode_files\BTCware\theva\10BitDefender\WUAUSERV.DLL.[[email protected]].theva]: [V3] [SUCCESS]
    ....
    Total decrypted files: [43]

    Scan finished!

    onyon: (OK)
    Decryptor Started

    Your Files were affected by BTCWare V2 {.onyon,.xfile} using RC4 with chunk-size = 10MB
    Found a valid ransom-note: [G:\DATA\shifr\encode_files\BTCware\onyon\50\bitdef_test\!#_DECRYPT_#!.inf]
    Found a valid user-ID: [pui7KbO0JLYa4c9P9243EH5dGV+Mjpcp2o9t/GBSVntMB6p38mY3SmZDq+DxnVb1H28pSMATEY08IBz1khGnSqfaWBhsUPGXqrWsH0DEiyhdHd/71MfVMAIx9atJ5JqOcig56bPZHOCUxzP7f9CEeAbeBGHTkv1mkV5P510ORqM=]
    Decrypted user-ID: [OBAMA-lUNz3r1hT100C44516fL6kzmp0DzIUW52ZL30D9tCYQX3ddz4DJERTb64qKXi39A-2017-07-07]
    Searching for encrypted files: [24] encrypted files found
    Testing decryption for 5 random encrypted files:
    ....
    Probing Finished [SUCCESS]

    Decrypt Files:
    ...
    Total decrypted files: [24]

    Scan finished!
    cryptowin: (OK)
    Decryptor Started

    Your Files were affected by BTCWare V3 {.cryptowin,.theva} using AES192 with chunk-size = 1KB
    Found a valid ransom-note: [G:\DATA\shifr\encode_files\BTCware\cryptowin\10\bit_def_test\#_HOW_TO_FIX.inf]
    Found a valid user-ID: [ZlVoCSJf+/Ntp26YFXbaRffwFAO63Ssgai9MUlaPtKYHPMSO7PVhqaoUxArenZTrqByWydQek91IPNcqmcJNQkeOtCul/8IvuxZhs91WxC8TUx6wvX2nAPtlmHoOT2Pa35AGaWjIGdvo4Kt3IIvqQu4Z8DJoA2+M0541oTIdK0g=]
    Decrypted user-ID: [ADM-Q01Xa5aI2TaqIF3sB38ek98S3-2017-07-07]
    Searching for encrypted files: [24] encrypted files found
    Testing decryption for 5 random encrypted files:
    ....
    Probing Finished [SUCCESS]

    Decrypt Files:
    Decrypt [G:\DATA\shifr\encode_files\BTCware\cryptowin\10\bit_def_test\15092014 16_55_03.xls.[[email protected]].cryptowin]: [V3] [SUCCESS]
    .....
    Total decrypted files: [24]

    Scan finished!
    master: (OK)
    Decryptor Started

    Your Files were affected by BTCWare V4 {.master,.aleta,.blocking,.gryphon} using AES256 with chunk-size = 10MB
    Found a valid ransom-note: [G:\DATA\shifr\encode_files\BTCware\master\10\bit_def_test\!#_RESTORE_FILES_#!.inf]
    Found a valid user-ID: [9R6bU4aF6u6rqZU9FcpCsGSDlD5h3o2lSrEbu6hzwRA01yM4VtE6W33uYUhpby1enyWGBFCwvA0zGcAjNe5XMG4mdOgA7KBiqHW+fGZiLnMeJdtTycKt27ieCkZkKzmsPYXXcXDkXBe6yIPH6wv62c1V/QAl7x9b8DmO42761tI=]
    Decrypted user-ID: [3-77881E1D8228D88E347306CE888335BB18951329755514507628F5C7CADDD6E57627E360-2017-07-07]
    Searching for encrypted files: [19] encrypted files found
    Testing decryption for 5 random encrypted files:
    ....
    Probing Finished [SUCCESS]


    Decrypt Files:
    Decrypt [G:\DATA\shifr\encode_files\BTCware\master\10\bit_def_test\AHCI.txt.[[email protected]].master]: [V4] [SUCCESS]
    ....
    Total decrypted files: [19]

    Scan finished!

    Понятно, что для расшифровки файлов использованы полученные мастер-ключи. В отличие от avast_decryptor_btcware.exe дешифратор от BitDefender для BTCWare не использует brute force для получения ключа.

    upd:

    Энциклопедия от Amigo-A по шифраторам содержит детальную информацию по семейству BTCWare:
    BTCWare Family:
    BTCWare Original: .btcware, .cryptobyte, .cryptowin, .theva
    BTCWare progeny: .xfile, .blocking
    BTCWare-Master: .master
    BTCWare-Onyon: .onyon
    BTCWare-Aleta: .aleta
    BTCWare-Gryphon: .gryphon
    BTCWare-Nuclear: .nuclear
    BTCWare-Wyvern: .wyvern
    BTCWare-PayDay: .payday

    http://id-ransomware.blogspot.ru/2017/03/btcware-ransomware.html

    upd2:

    4kpep5dh5hn6.jpg

    Sophos:Мы обобщили некоторые подробности методов шифрования файлов для разных вариантов BTCWare.

    nrr04ivvwjcw.jpg
    ky2jr0u75dog.jpg

    https://www.sophos.com/en-us/medialibrary/PDFs/factsheets/sophos-btcware-ransomware-wpna.pdf
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано November 2018 PM
    Michael Gillespie так же обновил свой дешифратор BTCWareDecrypter.exe до версии ## [1.1.0.12]
    по сравнению с версией 1.1.0.1 добавлены новые возможности:
    ## [1.1.0.12]
    + Added support for .[<email>]-id-<id>.payday decryption (ONLY SUPPORTED IF YOU HAVE THE AES KEY - IT CANNOT BE BRUTEFORCED)

    ## [1.1.0.11]
    + Added support for .[<email>]-id-<id>.wyvern decryption (ONLY SUPPORTED IF YOU HAVE THE AES KEY - contact me if the malware was stopped and the system has not been rebooted)

    ## [1.1.0.10]
    + Added support for .[<email>]-id-<id>.nuclear decryption (ONLY SUPPORTED IF YOU HAVE THE AES KEY - contact me if the malware was stopped and the system has not been rebooted)

    ## [1.1.0.9]
    + Added option to force decryption as a certain version of the malware than what is auto-detected (rare cases)
    + Added ransomware version and bug explanations to changelog

    ## [1.1.0.8]
    + Added support for .nuclear decryption (ONLY SUPPORTED IF YOU HAVE THE AES KEY - contact me if system has not been rebooted since infection)

    ## [1.1.0.7]
    + Added support for .blocking decryption (ONLY SUPPORTED IF YOU HAVE THE AES KEY - IT CANNOT BE BRUTEFORCED)
    + Added support for .encrypted decryption (ONLY SUPPORTED IF YOU HAVE THE AES KEY - IT CANNOT BE BRUTEFORCED)
    + Added support for .crypton decryption (ONLY SUPPORTED IF YOU HAVE THE AES KEY - IT CANNOT BE BRUTEFORCED)

    ## [1.1.0.6]
    + Added support for .gryphon decryption (ONLY SUPPORTED IF YOU HAVE THE AES KEY - contact me if system has not been rebooted since infection)
    + Fixed bug with detecting AES key provided

    ## [1.1.0.5]
    + Added support for .aleta decryption (ONLY SUPPORTED IF YOU HAVE THE AES KEY - IT CANNOT BE BRUTEFORCED)

    ## [1.1.0.4]
    + Fixed enabling of decrypt button if directory is selected before a key is entered
    + Added option to force RC4 decryption vs AES (rare cases)

    p.s.: wyvern ко всему прочему автоматически перегружает систему, чтобы исключить возможность восстановления ключа.
    upd:
    добавлю, что текущая версия 1.1.0.17 (**This program requires .NET Framework 4.5.2 or higher in order to run**) позволяет использовать brute force (по паре чистый-зашифрованный файлы) для получения ключа (в тех случаях, когда это возможно), загружать готовый ключ (например, полученный от злоумышленников) для расшифровки файлов, или получать ключ по информации из записки о выкупе используя интегрированные известные мастер-ключи.

    например:

    Your ID (из !#_RESTORE_FILES_#!.inf/.master):
    9R6bU4aF6u6rqZU9FcpCsGSDlD5h3o2lSrEbu6hzwRA01yM4VtE6W33uYUhpby1enyWGBFCwvA0zGcAjNe5XMG4mdOgA7KBiqHW+fGZiLnMeJdtTycKt27ieCkZkKzmsPYXXcXDkXBe6yIPH6wv62c1V/QAl7x9b8DmO42761tI=
    здесь сессионный ключ декодируется из base64 и дешифруется с помощью интегрированного мастер-ключа.
    Successfully decrypted key: 77881E1D8228D88E347306CE888335BB18951329755514507628F5C7CADDD6E57627E360
    ## [1.1.0.17]
    + Fixed support for delete option when file was not actually encrypted

    ## [1.1.0.16]
    + Added check for whether file is actually encrypted before attempting to decrypt

    ## [1.1.0.15]
    + Added support for .[<email>]-id-<id>.wallet decryption (ONLY SUPPORTED IF YOU HAVE THE AES KEY - IT CANNOT BE BRUTEFORCED)

    ## [1.1.0.14]
    + Added support for .[<email>]-id-<id>.shadow decryption (ONLY SUPPORTED IF YOU HAVE THE AES KEY - IT CANNOT BE BRUTEFORCED)
    + Fixed bug with decrypting files larger than 10MB encrypted by .payday and .shadow

    ## [1.1.0.13]
    + Fixed bug with multiple layers of encryption by different versions of the malware
    + Added option to force decryption of only a single layer (rare cases)
    + Added option to clear loaded AES keys (rare cases of working with multiple layers)
    + Added more warnings of certain options
    + Organized advanced settings

    ucyragh8iecx.jpg





    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано October 2017 PM
    проверил возможность расшифровки после атаки WNCRY с помощью утилиты Wannakey

    Специалист французской компании Quarkslab Адриен Гинье (Adrien Guinet) сообщает, что он нашел способ расшифровать данные, пострадавшие в результате атаки шифровальщика WannaCry.

    https://github.com/aguinet/wannakey
    This software has only been tested and known to work under Windows XP, 7 x86, 2003, Vista and Windows Server 2008 (tests by @msuiche).
    v2.0
    ----
    * automatically find the encryption process PID
    * write the private key so that the original malware's process can decrypt the files (using the Decrypt button)
    * code refactoring and cmake usage
    This software allows to recover the prime numbers of the RSA private key that are used by Wanacry.

    It does so by searching for them in the wcry.exe process. This is the process that generates the RSA private key. The main issue is that the CryptDestroyKey and CryptReleaseContext does not erase the prime numbers from memory before freeing the associated memory.

    This is not really a mistake from the ransomware authors, as they properly use the Windows Crypto API. Indeed, for what I've tested, under Windows 10, CryptReleaseContext does cleanup the memory (and so this recovery technique won't work). It can work under Windows XP because, in this version, CryptReleaseContext does not do the cleanup. Moreover, MSDN states this, for this function : "After this function is called, the released CSP handle is no longer valid. This function does not destroy key containers or key pairs.". So, it seems that there are no clean and cross-platform ways under Windows to clean this memory.

    If you are lucky (that is the associated memory hasn't been reallocated and erased), these prime numbers might still be in memory.

    That's what this software tries to achieve.

    Это программное обеспечение позволяет восстанавливать простые числа секретного ключа RSA, которые используются Wanacry.

    Он делает это, ища их в процессе wcry.exe. Это процесс, который генерирует закрытый ключ RSA. Основная проблема заключается в том, что CryptDestroyKey и CryptReleaseContext не стирают простые числа из памяти, прежде чем освобождать связанную память.

    На самом деле это не ошибка авторов авторских прав, поскольку они правильно используют API Windows Crypto. Действительно, для того, что я тестировал, в Windows 10 CryptReleaseContext очищает память (и поэтому эта техника восстановления не будет работать). Он может работать под Windows XP, потому что в этой версии CryptReleaseContext не выполняет очистку. Более того, MSDN заявляет это для этой функции: «После вызова этой функции освобожденный дескриптор CSP больше не действителен. Эта функция не уничтожает ключевые контейнеры или пары ключей». Таким образом, кажется, что в Windows нет чистых и кросс-платформенных способов для очистки этой памяти.

    Если вам повезет (то есть связанная память не была перераспределена и стерта), эти простые числа могут быть все еще в памяти.

    https://github.com/aguinet/wannakey

    wzg6p6imlq6d.jpg


    Содержимое папки C:\test\decrypt

    12.10.2017 14:50 <DIR> .
    12.10.2017 14:50 <DIR> ..
    03.06.2017 03:38 138 560 vcomp140.dll
    03.06.2017 03:38 285 696 wannakey.exe
    03.06.2017 03:38 286 720 wannakey_omp.exe
    03.06.2017 03:38 237 568 winapi_check.exe
    4 файлов 948 544 байт
    2 папок 2 852 581 376 байт свободно

    C:\test\decrypt>wannakey.exe
    Gather list of processes...
    Warning: unable to open process 0: ¦рЁрьхЄЁ чрфрэ эхтхЁэю.

    Warning: unable to retrieve the full path of the process for PID 4: ¦ряЁюё ReadP
    rocessMemory шыш WriteProcessMemory сvы тvяюыэхэ Єюы№ъю ўрёЄшўэю.

    Current directory is 'C:\test\crypt'
    Using PID 3716 and working directory C:\test\crypt...
    Reading public key from C:\test\crypt\00000000.pky...
    blob_header:
    06 02 00 00 00 A4 00 00
    ====
    pub_key:
    52 53 41 31 00 08 00 00 01 00 01 00
    ====
    Keylen: 256
    N:
    2D 81 DB 19 F3 FA D9 0E 88 7C 43 02 9F 06 87 C0
    73 7A 4A 55 A1 1A 27 2C C1 82 43 5B 09 39 E9 C4
    C4 5C C3 08 73 C8 04 F8 99 75 78 E4 DA 7D 67 AE
    C5 58 4C 07 BA 2D 50 69 B6 CC 5E 32 FD 17 D3 CE
    CB 38 87 5C 4C E5 6B A9 E2 CA 33 B4 02 B2 E5 94
    36 B2 22 DD 7F 00 5B 5A 91 AD 9B 68 3E 4F B9 DE
    57 97 FB 22 44 A3 91 18 37 C6 64 2F C5 53 F1 E0
    57 36 16 F1 1E 98 E8 C1 A2 5E 88 F0 E0 FC DC A8
    2A C8 6A F5 D9 C0 51 3E D3 87 DE 3B A4 50 EC 19
    3D 18 F7 5C 6A 64 F8 72 F4 15 20 C3 AE 35 3F 29
    98 95 7A D4 23 56 05 D2 D1 1A DF 8F 42 0F 80 45
    6E 4A 2F 58 03 4D 3E 98 BB 7D 38 3C 18 E7 10 63
    3C C5 94 BE E7 C3 BA FD F1 EC E3 2D CC 5A 7C BD
    CD FB E2 28 A5 FD A0 B8 BD FF 59 25 2A DF 31 9D
    84 6E 1F 03 8A A4 C8 A2 F1 B4 E9 02 B0 66 8A 7F
    BA 0B 16 0E BD 88 58 2D 86 D7 92 A4 99 43 CC 9F
    ====
    Generating the private key in 'C:\test\crypt\00000000.dky'...
    Done! You can now decrypt your files with the "official" decryptor interface by
    clicking on the "Decrypt" button!


    C:\test\decrypt>

    Расшифровка файлов на Windows XP выполнена успешно.

    На Win 7x86 не получилось восстановить ключ.

    C:\test\decrypt>wannakey.exe
    Gather list of processes...
    Warning: unable to open process 0: ╧рЁрьхЄЁ чрфрэ эхтхЁэю.

    Current directory is 'C:\test\crypt'
    Using PID 2772 and working directory C:\test\crypt...
    Reading public key from C:\test\crypt\00000000.pky...
    blob_header:
    06 02 00 00 00 A4 00 00
    ====
    pub_key:
    52 53 41 31 00 08 00 00 01 00 01 00
    ====
    Keylen: 256
    N:
    C9 39 76 1E CC B9 86 8F B4 F4 D9 36 F3 B3 4F 9F
    79 24 02 48 0E 32 33 23 0A 10 92 8C ED 34 9B 11
    C2 8A 02 68 AF E5 4B 57 DF 67 3A D7 19 13 82 47
    EE 13 2C D7 5A 85 80 39 5E F5 25 92 1C 64 D4 DE
    5F E7 AF 47 EB FB C8 14 E0 01 F9 CA E3 16 36 A9
    94 9A 13 61 DD BF E3 41 02 7A 5C 64 81 D7 A7 79
    5D A9 E8 3B 9B 5D BC E0 91 A3 BE 87 7D DE EF 2C
    C6 07 C2 EC 5A E4 B5 D7 EC 3E D0 D7 BF 12 ED D9
    83 AF 6C 32 4E F5 A2 F3 8E C7 2B 69 2A 0E D6 9C
    D4 BD 7E 20 AA 6F DF A4 23 2E 32 0C 3D B5 6E 2D
    84 A9 6D 8F FB 31 9C AB 29 6E 29 77 8C 00 FE AD
    41 DB C3 E7 EB C7 21 0C 3E 4B 10 10 02 88 59 F2
    C2 AE 01 F8 2E 57 0C C9 1C A8 78 FA 11 D4 C2 F5
    EF 31 A1 52 9B F2 F4 F5 43 57 40 B6 70 42 35 27
    79 82 8E 16 45 AF F9 B7 4A F5 5F 9B 1F C5 2D 1C
    2B 5E 09 A7 99 70 2B E7 46 B9 88 A4 AE 68 20 BA
    ====
    Error: no prime that divides N was found!


    C:\test\decrypt>




    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано February 2018 PM
    Belgian Federal Police together with Kaspersky Lab have released a free decryption tool for some versions of the Cryakl ransomware.

    In a joint statement released through Europol, Belgian police said they were able to track down one of Cryakl ransomware's command-and-control (C&C) servers to a data center in one of Belgium's neighboring countries.

    Belgian authorities seized this and other servers and then performed forensic analysis to retrieve Cryakl decryption keys stored on the server.

    Федеральная полиция Бельгии совместно с «Лабораторией Касперского» выпустила бесплатный инструмент для расшифровки некоторых версий Cryakl ransomware.

    В совместном заявлении, опубликованном через Europol, бельгийская полиция заявила, что они смогли отследить один из серверов Command & Control (C & C) Cryakl ransomware в центре обработки данных в одной из соседних стран Бельгии.

    Бельгийские власти захватили этот и другие серверы, а затем провели судебно-медицинский анализ для извлечения ключей дешифрования Cryakl, хранящихся на сервере.
    Decryption keys added to Kaspersky's RakhniDecryptor app.

    Kaspersky Lab experts integrated the newly discovered decryption keys in the company's RakhniDecryptor, a generic ransomware decryption utility that can be used to decrypt many other ransomware strains as well.

    The Cryakl ransomware was first spotted in September 2015 and remained active through the years. Its most prolific period was late 2015 to mid-2016 when Kaspersky Lab statistics ranked it as one of the most active ransomware strains [1, 2]. Ransomware distribution died down in the subsequent period, but the ransomware has remained active and new versions have continued to appear, even recently. For example, Cryakl version 1.4.0.0 was detected over 50 times on the ID-Ransomware portal this year alone, while version 1.4.1.0 has been seen over 100 times since December 26, last year.

    Kaspersky experts found encryption flaws in early versions of the Cryakl ransomware. The RakhniDecryptor utility already included support for decrypting these early Cryakl versions for at least two years.

    Subsequent Cryakl versions were not decryptable, but with the new decryption keys obtained by Belgian police, some victims who made backups of Cryakl-encrypted files can now hope to recover their data.

    Ключи дешифрования добавлены в приложение RakhniDecryptor от Kaspersky

    Эксперты «Лаборатории Касперского» объединили недавно открытые ключи дешифрования в RakhniDecryptor - универсальной утилите дешифрования ransomware, которая также может использоваться для дешифрования многих других штаммов шифраторов.

    Cryakl был впервые обнаружен в сентябре 2015 года и оставался активным на протяжении многих лет. Наиболее продуктивным был период с конца 2015 года по середину 2016 года, когда статистика «Лаборатории Касперского» оценила его как одну из самых активных штаммов вымогательства [1, 2]. Распространение Ransomware снизилось в последующий период, но шифратор все время оставался активным, и новые версии продолжают появляться до сих пор. Например, версия Cryakl 1.4.0.0 была обнаружена более 50 раз на портале ID-Ransomware только в этом году, а версия 1.4.1.0 была просмотрена более чем в 100 раз с 26 декабря прошлого года.

    В ранних версиях Cryakl ransomware специалисты обнаружили дефекты шифрования. Утилита RakhniDecryptor уже включала поддержку для дешифрования этих ранних версий Cryakl не менее двух лет.

    Последующие версии Cryakl не были дешифруемыми, но с новыми ключами расшифровки, полученными бельгийской полицией, некоторые жертвы, которые делали резервные копии файлов, зашифрованных Cryakl, теперь могут надеяться восстановить свои данные.
    Decrypter available via NoMoreRansom project

    The updated RakhniDecryptor utility can be downloaded via the NoMoreRansom project's website. Belgian Federal Police also became an official member of the NoMoreRansom project with today's announcement. Cypriot and Estonian police also joined the project, which now numbers 52 members from law enforcement and the private (security and non-security) sector.

    Belgian police also became the second law enforcement agency to provide decryption keys to the NoMoreRansom project after Dutch police did so numerous times in the past.

    If victims need help with the Cryakl ransomware decryption process, they can ask for it on Bleeping Computer's Cryakl ransomware support forum.

    Decrypter доступен через проект NoMoreRansom

    Обновленную утилиту RakhniDecryptor можно загрузить с веб-сайта проекта NoMoreRansom. Бельгийская федеральная полиция также стала официальным участником проекта NoMoreRansom с сегодняшним объявлением....


    https://www.bleepingcomputer.com/news/security/free-decryption-tool-released-for-cryakl-ransomware/
    p.s. непонятно, какие версии Cryakl-а умеет расшифровать дешифратор от ЛК....

    update:

    часть вариантов версий CL 1.0.* - CL 1.3.* может быть расшифрована:
    01:44:44.0657 0x1044 Number of worker threads: 2
    01:44:49.0983 0x1044 File path: Z:\test\[email protected] 1.0.0.0.id-MTZFLQWCHNTYDJPUAGLRWCINSYEJPVAFLRXC-17.07.2015 17@[email protected]
    01:44:50.0187 0x1044 Password recovered

    01:59:54.0335 0x1bd0 File path: Z:\test\[email protected] 1.0.0.0.id-FGHIJKMNOPQSTUWXXZABCDFHIJKKLMORTUVX-17.07.2015 9@[email protected]
    01:59:54.0499 0x1bd0 Password recovered

    02:07:14.0363 0x1830 Number of worker threads: 2
    02:07:23.0494 0x1830 File path: Z:\test\[email protected] 1.0.0.0.id-OXXTTCBTJAWYKISSIAGMRXDIOUAFLRWCIOSY-14.07.2015 13@[email protected]
    02:07:23.0931 0x1830 Decryptor #0: cannot recover password

    02:08:57.0594 0x196c File path: Z:\test\[email protected] 1.0.0.0.id-NTZXEKPVBHMSYDIOUZFLRWCHNSYEJPVBGLRX-15.07.2015 13@[email protected]
    02:08:57.0800 0x196c Password recovered

    02:17:44.0879 0x041c File path: Z:\test\[email protected] 1.2.0.0.id-MTZFLRXDJPVBHMTZEKRWCIOUAGMSXEKPVCHN-14.12.2015 11@[email protected]
    02:17:45.0214 0x041c Decryptor #0: cannot recover password

    02:19:58.0254 0x1b88 File path: Z:\test\[email protected] 1.2.0.0.id-TUVWXXXYZAABBCCDEEFGGGHIJJKKKLMNNOPP-04.12.2015 10@[email protected]
    02:19:58.0719 0x1b88 Decryptor #0: cannot recover password
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано March 2018 PM
    Bitdefender выпустил бесплатный decrypter, который помогает жертвам GandCrab восстановливать файлы, не выплачивая выкуп.

    Decrypter доступен для загрузки через проект NoMoreRansom, членом которого является Bitdefender.

    Богдан Ботезату, старший аналитик по киберугрозам, опроверг слухи о том, что Bitdefender взял контроль над одним из серверов управления GandCrab и сказал, что компания создала простой дешифратор.

    Bitdefender утверждает, что decrypter работает со всеми известными версиями GandCrab, но несколько пользователей и исследователей безопасности [1, 2] сообщили о проблемах с процедурой дешифрования. Поскольку это первая версия дешифратора, у decrypter могут быть ошибки, как у любого недавно запущенного программного обеспечения. В этих случаях Bitdefender рекомендует пользователям проконсультироваться с официальной документацией GandCrab decrypter, и если у них будут проблемы, отправьте электронное письмо по адресу, указанному в файле PDF.

    https://www.bleepingcomputer.com/news/security/free-decrypter-available-for-gandcrab-ransomware-victims/

    однако, по словам Lawrence Abrams:
    Также важно знать, что Bitdefender смог создать дешифратор, потому что получил доступ к серверу управления и управления и смог получить доступ к некоторым / всем ключам для версии v1.

    Хотя я не уменьшаю это достижение, очень благодарен, что BD выпустил дешифратор для всех, и я рад, что они продолжают поддерживать тех жертв, у которых проблемы с их дешифратором, также следует признать, что сам алгоритм шифрования не был взломан ,
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано March 2018 PM
    версия Cryakl 1.4-1.4.1.0 fairytail может быть расшифрована.
    для проверки расшифровки необходима чтобы была пара чистый- зашифрованный файл.
    Размер файлов не менее 50кб



    hyhxchvth0xb.jpg

    private key:
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

    97kjaetwr6zm.jpg

    Спасибо,
    Amigo-A (Andrew Ivanov),
    за информацию о дешифраторе!
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • судя по сообщениям на форуме bleepingcomputer.com, компания DrWeb может помочь в расшифровке вариантов *.scarab
    Hello,

    Unfortunatly there is no free decryption for the moment for the Scarab ransomware. It requires a lot of calculation and Dr.Web labo fees are 150 EUR exc. vat if they succeed to decrypt your files. If you agree you can send me the ransom note file and 3-4 crypted files with www.wetransfer.com at [email protected]. The better is to have among the 3-4 samples crypted files a previously .doc file. Do not send originals and crypted files, only crypted files.

    It take around 7 working days to check if we succeed to calculate the decryption key. If so, the decryptor is automatic and will recover all your crypted files.

    Kind regards,

    Emmanuel [email protected]

    https://partners.drweb.com/find_partner?mode=search&country=64&city=1161&searchByName=&lng=en

    https://www.bleepingcomputer.com/forums/t/651855/scarab-mich78-ransomware-scarab-scorpio-mich78usacom-support-topic/page-17#entry4501516
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано February 2019 PM
    Лаборатория Касперского: "как мы расшифровали Cryakl"
    Лаборатория Касперского - July 17, 2018. 13:00

    Проблема с Cryakl заключалась в том, что в его наиболее свежих версиях применялось ассиметричное шифрование RSA. В теле зловреда содержались публичные ключи, которые использовались для шифрования данных пользователей. Без знания соответствующих приватных ключей мы не могли создать утилиту для расшифровки. Изъятые бельгийскими правоохранительными органами и переданные нам ключи позволили расшифровать несколько версий вымогателя.

    Используя полученные ключи, мы добавили в утилиту Rakhni Decryptor функциональность для восстановления файлов, зашифрованных следующими версиями Cryakl:
    Версия троянца Почта злоумышленников:
    CL 1.0.0.0
    + [email protected]
    + [email protected]
    - [email protected]
    + [email protected]
    [email protected]
    + [email protected]
    + [email protected]
    + [email protected]
    [email protected]
    [email protected]
    CL 1.0.0.0.u
    [email protected]_graf1
    [email protected]_mod
    +[email protected]_mod2
    CL 1.2.0.0
    [email protected]
    [email protected]
    CL 1.3.0.0
    [email protected]
    CL 1.3.1.0
    + [email protected]
    [email protected][email protected]
    + [email protected]

    https://securelist.ru/the-return-of-fantomas-or-how-we-deciphered-cryakl/90409/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • для пользователей Сирии BitDefender обновил дешифратор GandGrab
    Мы рады объявить о выпуске нового дешифратора для жертв Ransomware GandCrab. Инструмент может использоваться только ограниченным пулом жертв, расположенных в Сирии, и работает в версиях с 1 по 5 вымогательства GandCrab.

    В ядре инструмента находится примерно 1000 ключей дешифрования, выпущенных группой GandCrab и предоставленной нам журналистом BleepingComputer Лоуренсом Абрамсом из дампа, изначально обнаруженного исследователем вредоносного ПО Damian1338B.

    https://labs.bitdefender.com/2018/10/bitdefender-gandcrab-decryptor-for-syrian-users-now-available/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.