CHKLST.RU

Счастливые владельцы зашифрованных файлов могут получить обратно свои ключи/файлы....

отредактировано 13 дек Раздел: Шифровирусы шумной толпою


Счастливыми в данном случае окажутся, к сожалению, лишь те, кому выпадет возможность восстановить свой ключ, и использовать его для расшифрования своих данных. :)

в связи с тем, что команда "paycrypt", прежде чем запустить новый вариант бат-энкодера (paycrypt@gmail_com), предоставила в распоряжение хелперов и вирус_аналитиков несколько мастер-ключей:
:user ID packet: "P-crypt (P-crypt) "
:signature packet: algo 1, keyid 278605395C63D713
5C63D713/591A1333
(sig created 2014-03-01)

:user ID packet: "StyxKey (StyxKey) "
:signature packet: algo 1, keyid BAC121F1F3E75FD0
F3E75FD0/01270FE6
(sig created 2014-05-26)

:user ID packet: "HckTeam (HckTeam) "
:signature packet: algo 1, keyid 528FE439E578490A
E578490A/F107EA9F
(sig created 2014-06-01)
для расшифровки файла KEY.PRIVATE, есть возможность расшифровать ранние (первая половина-июнь 2014 года) зашифрованные документы с расширением: .unblck@gmail_com/.uncrpt@gmail_com/.unstyx@gmail_com/.paycrypt@gmail_com
----------

добавлю, что с помощью данных приватных ключей возможно восстановить из KEY.PRIVATE сессионные ключи secring.gpg пользователей, которые могут быть использованы для расшифровки файлов.

пример:
(извлекаем и импортируем сессионный ключ)

gpg: encrypted with 1024-bit RSA key, ID F107EA9F, created 01.06.2014
"HckTeam (HckTeam) "

File: E:\deshifr\files_encode\BAT.Encoder\unblck@gmail.com\3\KEY.PRIVATE
Time: 14.06.2016 20:01:46 (14.06.2016 13:01:46 UTC)

gpg: key 63E66460: already in secret keyring
gpg: Total number processed: 1
gpg: secret keys read: 1
gpg: secret keys unchanged: 1

File: E:\deshifr\files_encode\BAT.Encoder\unblck@gmail.com\3\secring.gpg
Time: 14.06.2016 20:02:35 (14.06.2016 13:02:35 UTC)
----------
gpg: encrypted with 1024-bit RSA key, ID F107EA9F, created 01.06.2014
"HckTeam (HckTeam) "

File: E:\deshifr\files_encode\BAT.Encoder\unblck@gmail.com\4\KEY.PRIVATE
Time: 14.06.2016 20:07:02 (14.06.2016 13:07:02 UTC)

gpg: key CDB7701B: secret key imported
gpg: key CDB7701B: public key "unstyx (unstyx) " imported
gpg: Total number processed: 1
gpg: imported: 1
gpg: secret keys read: 1
gpg: secret keys imported: 1

- Public keyring updated. -
- Secret keyring updated. -

File: E:\deshifr\files_encode\BAT.Encoder\unblck@gmail.com\4\secring.gpg
Time: 14.06.2016 20:08:38 (14.06.2016 13:08:38 UTC)
--------


итак ключи secring.gpg с ID:
63E66460
DB0E4003
CDB7701B
+
369AE471
23AE1FA6
F4CF450E

ждут своих владельцев. :)

+
получены secring.gpg с id
0x6E697C70/0xDF907172 uncrypt , 0xE71BDC55/0x63D1F277 unlock
и passphrase к этим ключам для расшифровки файлов, зашифрованных бат-энкодером с расширением *.PZDC, *.CRYPT, *.GOOD. судя по созданным ключам, данные шифраторы были активны в июле 2014 года, параллельно с другими вариантами бат-энкодера: paycrypt@gmail_com/keybtc@gmail_com.


В случае несложных парольных фраз (passphrase) для подбора пароля можно использовать утилиту для распределенного вычисления от Elcomsoft: ElcomSoft Distributed Password Recovery
Elcomsoft Distributed Password Recovery – высокопроизводительное решение для восстановления паролей к различным типам файлов (список поддерживаемых форматов). Программа построена по принципу "клиент-сервер" и позволяет задействовать для перебора паролей все имеющиеся компьютеры.
-------------


Комментарии

  • отредактировано 25 сен PM
    Decrypted: Kaspersky releases free decryptor for CryptXXX Ransomware

    When a user is infected with CryptXXX, all of their data will be encrypted and have the .crypt extension appended to the filenames. The ransomware developers would then demand 500 USD or approximately 1.2 bitcoins to get the decryption key. To make matters worse, this ransomware will also attempt to steal your bitcoin wallet and harvest information and credentials related to your FTP client, instant messenger clients, emails, and browsers.

    Thankfully, yesterday Kaspersky released a free decryptor for this ransomware.


    bleepingcomputer.com

    Лаборатория Касперского и Intel Security/McAfee (видимо в результате удачной охоты за серверами с ключами) выпустили соответственно дешифраторы: ShadeDecryptor. и ShadeDecrypt
    для расшифрования файлов после Ransom.Shade.xtbl/breaking_bad. (он же грозный и непобедимый Filecoder.ED).

    fe0e61dab0a6.jpg

    утилита содержит предположительно свыше 160 000 ключей
    A new tool containing 160.000+ keys will help victims to retrieve their data
    Возможно, кому то из пострадавших повезет оказаться в числе этих 160000, и расшифровать свои данные: xtbl/breaking_bad. Учитывая, что данных шифратор широко распространен в России, так думаю, что многие посетители форумов: virusinfo.info, forum.esetnod32.ru и др., смогут получить ключи и хороший шанс на расшифровку своих данных.

    судя по темам forum.esetnod32.ru ключи в базу по времени шифрования были добавлены в интервале октябрь 2015-февраль 2016. В это время был активен еще xtbl, но затем его активность сменилась на breaking_bad.

    (мне повезло, и я получил по результату тестового шифрования Ransom.Shade.breaking_bad свой ключ и расшифровал файлы.)

    BEGIN PRIVATE KEY
    MIIG/QIBADANBgkqhkiG9w0BAQEFAASCBucwggbjAgEAAoIBgQDhp8KlRgk1­nVbi
    h+NkBn+tOW+oKPx7AiUgp/9H3wh+a0U9K6+XtzYVjDsL9H01TT8hkLCLgmPx­dt80
    bp7RecgQPPl/X93Xy58Y5Nw7me6rxssNIhp9zh47ugh6T0CX/8VRQFbS7G0Y­j8Ne
    60hwX9D2gqEYBX5VQbp1+64aXxvyzxEibMuUve6vks9clMO/Sxi/RiWCK4Dq­n13o
    J19wP3OEyT7jZX8iB9WUwSfFZAeqgJibQyhXtqVBU0t6HRgrA2vmcPzE/Mou­Bfa+
    xjAjFUVf1iTLcFxrMYYeszd0dOKYyhoiLeX0V/js79N0T/dDeSX8wAy3PhLZ­572N
    KRJBnhFa1FnEas7A9p1TNMNfonQ6UHM3cPE/lrbCpUqghpFRgA8tWzRn6u71­4TWZ
    D0m2Qhi2vHLubG84V+tGoSdt28lMQjFkUfrgUzne+kK0MqfeyRYTNcxvFC5v­JsCV
    BEzdZlprmbnRpxZe/U98KPgb0NjADkRjx//5V/Y/bmtM6aTjFUMCAwEAAQKC­AYEA
    pQ4xuPRmjhn9UIt3D1YVk95cRtNcApnKEH3xo1+Hdfj+10SaFs5DODWvhwoZ­f6B2
    GhYcnJ8OfbOmhlKXxr9eUEpZcQrtWQgu4mWcldf9lRY+teeJGxZmVOe5hcVs­iQHk
    EY+PMo8PKZUWodpVzSS402cvcEOsaa4/NkeWzOFerxc5AEY2DyFycmhfVufV­2pmS
    i25Cx1kM3hEd/k62Z4Nx+uG9J1W5TWoPltRGRALr/JI9jevsmWQWspa7saGQ­aP4B
    UfBgwOQOR6poTM3ozT2hzrTdWfog+0qutbzQxynPVL7ETNDzVwweReh2bUFA­tN88
    YMYKNZn0iUBSI/MPRqcdcjKh8E8rM7kqiHg1a2SlX7oXszD3xTOq+OKX2naY­Aoj5
    ahKXf1G2GjDXQ7MP0iX+V7yaDAeE3EUAwHNWdoHYsP4zpiWG0UJPPgFFRSyH­5Sp+
    Nvor0YDVTkmwS7lnyU1Qq7JJgex379zqJjoFxqcZ2DNpHNsxxwpECC/kxRCl­wKW5
    AoHBAPf0PtaxSEqDP8Zt9wqzbhgu7megow+bPf9jT6PxGrODn8c9lRPu3UoA­rgU0
    EmJETUBTQYMIUxs6M3e+Gik9y2t7SqeHhSxIT9611b2pVT+QiC0WokRbOO1Q­ABKH
    Ud2stabCzqtgFQMfdJ+X6157MHK1+gyll3MA9umxL+uw4p1mSvqNoEyi8cFK­uuRB
    +a7bsjThpomh6goo+fSkNPJZkkzYOuQtdEnXZRPiUmXkisF/42/WX1U8YaQ8­gpSy
    Kc4oNwKBwQDo+kdr/zg8d2NW1eTh8L+NCsA0H/v57hOzAzRr/YhdKlxduD8w­fI+l
    A1H8EwjeG/3ILUU+TWUyvuNYlm143l5rM2B5KF9ppXv6CwsdD/Uiy17yGqLF­O91L
    WgpJ58ItkXCBSBjTSoevp99AV3DxMgFXDv2/DQE+vg4Z33R3zOIg6yjJUiEh­ygJA
    fcSKTvl3X6klbuz0NXwCF/IfEN8/faqApl8B3VwD+s2Rl+EWF7VUEHp9LwWk­Reb+
    nzGt+MJqnVUCgcBsYjhBkla+M2biLtkotUvviDwv0fjU7pAIHXoHeHGqfGOQ­LOwI
    PYY/PdLTdXJ/v8lgz8O4KiBhq2wp8E/xLRDJF6iHWGau96DqAeO/NtCLq3rK­8rTV
    Wmak3S5a6wmu8zqn/UlngeVNayeIR1jcAM8ppT/63Ts5SvejKQ+AX95+3OLz­aIrk
    VOmGC0tsUSZ595CLKwOn772k2UqBVHHMabjYnEAJ05CcYmnNakWIQoEgme1p­ynP7
    hxxLNSQDKWm6srsCgcApngPCI/4stvr02RKg1bux+zioVwpQ9BlqwejMXabN­VbLY
    PwByrd2PEY/EorXTz1Y/Ou8CmRq5vOWpvn1huP9O0QervO2GVrxVx0E9+MrG­Y2Pb
    hayL5Qy72CK8Xv0N3MwnG/TrUYX5d9hmivgu7crVfWUQisctKRAlyQfqGpxO­WxOX
    Gue2PHq4gH7qYf8oNttlR3JmkWNMkHB84iuvEMizYITaNWupflTYbDQWGTgY­AzWO
    RScR2DbSRye9txErsF0CgcAzTmeye8dA3P0Yi1GMGJz+KBNs9w5zhfvxT8v/­JuYH
    BgDLwyLByMC+5i9kuojpkujavgs79PPOw0VnX/LVu3PZgcxMoMX8l/ZRxUVS­xw02
    TufXt99/X48BiqCIl9jL0giYR10IPbGNezKOEZ0K7gVcRgwYINnL6b5WMGZp­SPT3
    08S+zcHPYYWMvP93ZmCHo+tyAhW7q7QvjbYs1v8Ibhs9fHJGGMh+TXnzfL3y­ZoH5
    lpgVs00wwPx8aPdblqrs3RE=
    END PRIVATE KEY

    ShadeDecryptor can decrypt files with the following extensions: .xtbl, .ytbl, .breaking_bad, .heisenberg.

    nomoreransom.org

    здесь подробное описание работы с shadedecrypt от McAfee.

    mcafee.com

  • отредактировано 24 авг PM
    chimera_header-900x317.png

    судя по сообщению hasherezade, получена часть приватных ключей к шифратору Chimera.

    blog.malwarebytes.com

    дамп приватных ключей выложен кем то из разработчиков Petya Ransomware, по его словам, имевшим доступ к части проекта Chimera.

    bleepingcomputer.com


  • отредактировано 19 май PM
    получены мастер-ключи по шифратору CrySiS!

    варианты этого шифратора:
    vegclass@aol.com.xtbl
    redshitline@india.com.xtbl
    {meldonii@india.com}.xtbl
    ecovector3@india.com.xtbl и многие другие.

    DrWeb приводит более полный список адресов электронной почты, которые используются злоумышленниками для контактов и шифрования файлов.
    Зашифрованные файлы получают суффикс с контактным адресом электронной почты и расширением. Известно два расширения, которые троянец присваивает зашифрованным файлам:

    *.xtbl
    *.CrySiS

    Злоумышленники оставляют следующие электронные адреса:

    dalailama2015@protonmail.ch
    Vegclass@aol.com
    a_princ@aol.com
    TREE_OF_LIFE@INDIA.COM
    redshitline@india.com
    milarepa.lotos@aol.com
    Eco_vector@aol.com
    sub_zero12@aol.com
    gerkaman@aol.com
    freetibet@india.com
    cyber_baba2@aol.com
    siddhiup2@india.com
    gruzinrussian@aol.com
    Ecovector3@aol.com
    ramachandra7@india.com

    http://vms.drweb.ru/virus/?i=8051858
    Good day everybody, here the master keys for all variants of CrySiS ransomware. It's an array of modulus,private and public exponents.

    The header of encrypted file looks like this:

    Signature(6 ASCII symbols) | SHA1(Modulus)(20 bytes) | AES Init vector(16 bytes) | Padding (4 bytes uint) | RSA_encrypt(AES_KEY|COMPUTERID) | Size of extra header (4 bytes uint)

    Extra header can be found prior to trailer and have following format:

    For older versions it's a zero terminated unicode string which is filename of original file.

    For newer versions:

    Zero(4 byte uint) | Type of encryption(1=partial,2=full) | Magic values(0xFFD1CEFFL for partial,

    0xFFAE50FFL for full) | (size of header-original filename size(offset to filename) |ignorede for full, number of encrypted regions for partial | ignored for full, size of encrypted region if partial | ignored for full, CRC32(Encrypted regions) | ignored for full, offset to encrypted data for partial

    If encryption is partial, there is an encrypted data after header. In both encryption types there is a original filename (unicode string) after headers.

    http://pastebin.com/x1NydTHZ
    http://www.bleepingcomputer.com/forums/t/607680/crysis-extensionid-numberemailxtblcrysis-ransomware-support-topic/page-32#entry4119239

    думаю, в ближайшее время будут готовы универсальные дешифраторы по данному (и очень распространенному в России) шифратору.
    When the released keys were examined by Kaspersky Lab it was determined that these keys were legitimate. Using these keys, Kaspersky have updated their RakhniDecryptor program so that it can now decrypt CrySiS encrypted files.

    http://www.bleepingcomputer.com/news/security/master-decryption-keys-and-decryptor-for-the-crysis-ransomware-released-/

    Лаборатория Касперского добавила решение по расшифровке CrySiS в свою утилиту:
    RakhniDecryptor tool is designed to decrypt files encrypted by:

    Crysis;
    Chimera;
    Rakhni;
    Agent.iih;
    Aura;
    Autoit;
    Pletor;
    Rotor;
    Lamer;
    Lortok;
    Cryptokluchen;
    Democry;
    Bitman (TeslaCrypt) version 3 and 4.
    http://media.kaspersky.com/utilities/VirusUtilities/EN/RakhniDecryptor.zip
    https://threatpost.ru/crysis-ransomware-master-decryption-keys-released/19174/

    компания ESET выпустила дешифратор esetcrysisdecryp­tor

    KB6274Fig1-2b.png



    How do I clean a Crysis infection using the ESET Crysis decryptor?
    http://support.eset.com/kb6274/
  • отредактировано 14 янв PM
    Проверяем в работе дешифратор от ESET: esetcrysisdecryp­tor

    результат расшифровки отличный.
    Vegclass@aol.com.xtbl

    [2016.11.22 22:13:22.830] - INFO: 11 infected files found.
    [2016.11.22 22:13:22.830] - INFO: 11 file(s) cleaned.
    [2016.11.22 22:13:24.733] - End

    redshitline@india.com.xtbl

    [2016.11.22 22:16:25.677] - INFO: 25 infected files found.
    [2016.11.22 22:16:25.677] - INFO: 25 file(s) cleaned.
    [2016.11.22 22:16:27.300] - End

    MELDONII@INDIA.COM.XTBL

    [2016.11.22 22:17:56.392] - INFO: 25 infected files found.
    [2016.11.22 22:17:56.392] - INFO: 25 file(s) cleaned.
    [2016.11.22 22:17:57.952] - End

    {ecovector3@aol.com}.xtbl

    [2016.11.22 22:19:53.501] - INFO: 2 infected files found.
    [2016.11.22 22:19:53.501] - INFO: 2 file(s) cleaned.
    [2016.11.22 22:19:54.905] - End

    {gruzinrussian@aol.com}.xtbl

    [2016.11.22 22:22:01.062] - INFO: 4 infected files found.
    [2016.11.22 22:22:01.062] - INFO: 4 file(s) cleaned.
    [2016.11.22 22:22:02.342] - End

    mailrepa.lotos@aol.com.CrySiS

    [2016.11.22 22:23:29.468] - INFO: 6 infected files found.
    [2016.11.22 22:23:29.468] - INFO: 6 file(s) cleaned.
    [2016.11.22 22:23:30.747] - End
    2sb69vhaeixn.jpg
    update:
    В ESET добавили расшифровку расширения .lock

    [2016.11.26 17:43:34.277] - .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT.. Crysis decryptor
    [2016.11.26 17:43:34.279] - .::EE::::EE:SS:::::::.EE....EE....TT...... Version: 2.0.1.0
    [2016.11.26 17:43:34.280] - .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT...... Built: Nov 25 2016
    [2016.11.26 17:43:34.287] - INFO: Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock


  • отредактировано Декабрь 2016 PM
    Trendo Micro добавил расшифровку CrySiS (xtbl;crypt) в новом обновлении дешифратора:

    Updated: 28 Nov 2016, ver:1.0.1654

    https://success.trendmicro.com/solution/1114221
  • отредактировано Декабрь 2016 PM
    Avast выпустил дешифратор для CrySiS.
    CrySiS

    CrySiS (JohnyCryptor, Virus-Encode, or Aura) is a ransomware strain that has been observed since September 2015. It uses AES256 combined with RSA1024 asymmetric encryption.
    Filename changes:

    Encrypted files have many various extensions, including:
    .johnycryptor@hackermail.com.xtbl,
    .ecovector2@aol.com.xtbl,
    .systemdown@india.com.xtbl,
    .Vegclass@aol.com.xtbl,
    .{milarepa.lotos@aol.com}.CrySiS,
    .{Greg_blood@india.com}.xtbl,
    .{savepanda@india.com}.xtbl,
    .{arzamass7@163.com}.xtbl
    Ransom message:

    After encrypting your files, one of the following messages appears (see below). The message is located in "Decryption instructions.txt", "Decryptions instructions.txt", or "*README.txt" on the user's desktop.

    https://www.avast.com/ransomware-decryption-tools
    http://files.avast.com/files/decryptor/avast_decryptor__crysis.exe
    добавлю, что дешифратор от Avast сыроват, и работает корректно не для всех вариантов расширений.
    Скажем, vegclass@aol.com.xtbl, redshitline@india.com.xtbl не были расшифрованы, в тоже время meldonii@india.com.xtbl был успешно расшифрован.
  • отредактировано Декабрь 2016 PM
    тестировал на виртуальной машине вариант шифратора, который ESET детектирует как CrySiS.H

    https://www.virustotal.com/ru/file/fc1f8ae24231aabe5828c47df970d91a4cfdf89e23117694e38e58e5bd43df9d/analysis/

    в итоге шифрования получаем записку о выкупе Decryption instructions.txt с таким содержанием:
    All of your files are encrypted, to decrypt them write me to email: payfornature@india.com

    и зашифрованные файлы:
    keygpg.rar.id-6827263D.{payfornature@india.com.crypted
    readme.txt.id-6827263D.{payfornature@india.com.crypted
    и так далее,

    проверил на ID Ransomware по зашифрованному файлу и записке о выкупе, получаю результат:
    This ransomware is decryptable!

    Identified by

    ransomnote_filename: Decryption instructions.txt
    ransomnote_email: payfornature@india.com
    sample_extension: .id-<ID>.{<email>.crypted

    Click here for more information about CrySiS

    запускаю последнюю версию Crysis decryptor

    [2016.11.26 17:43:34.277] - .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT.. Crysis decryptor
    [2016.11.26 17:43:34.279] - .::EE::::EE:SS:::::::.EE....EE....TT...... Version: 2.0.1.0
    [2016.11.26 17:43:34.280] - .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT...... Built: Nov 25 2016
    [2016.11.26 17:43:34.287] - INFO: Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock

    в итоге ничего не могу расшифровать.

    понятно, что Crysis decryptor не поддерживает расширение .crypted для CrySiS.

    переименовал группу зашифрованных файлов из *.crypted в *.crypt и все тестовые расшифровал. :).
    [2016.12.11 21:12:59.611] - INFO: 11 infected files found.
    [2016.12.11 21:12:59.612] - INFO: 11 file(s) cleaned.
    [2016.12.11 21:13:01.395] - End

    Надеюсь, что в новой версии Crysis decryptor будет добавлена поддержка расширения .crypted:
    Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock + .crypted
  • отредактировано Декабрь 2016 PM
    New version of ESETCrysisDecryptor was released:
    [2016.12.12 22:18:04.539] - .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT.. Crysis decryptor
    [2016.12.12 22:18:04.540] - .::EE::::EE:SS:::::::.EE....EE....TT...... Version: 2.0.2.0
    [2016.12.12 22:18:04.541] - .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT...... Built: Dec 12 2016

    [2016.12.12 22:18:04.549] - INFO: Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted
    пример зашифрованного файла:
    keygpg.rar.id-6827263D.{payfornature@india.com.crypted
  • отредактировано Декабрь 2016 PM
    Kaspersky Lab пишет, что получена расшифровка для CryptXXX: crypt; cryp1, crypz

    But nothing lasts forever. Today we’re happy to announce that our researchers have managed to find a cure for the third version of CryptXXX trojan, so the .cryp1, .crypt and .crypz files can be decrypted once again. We’ve added the decryption to the Rannoh Decryptor utility, which you can find either at our website or at NoMoreRansom.org.

    https://blog.kaspersky.com/cryptxxx-v3-ransomware/13628/
    +
    Разработан дешифратор для третьей версии CryptXXX
    https://threatpost.ru/new-decryptor-unlocks-cryptxxx-v3-files/19779/
    По crypt расшифровка была ранее. Добавили расшифровку cryp1, crypz. Проверять в работе дешифраторы от ЛК крайне неудобно. Нет функции проверки отдельно каталога с зашифрованными файлами, как это сделано в дешифраторах от ESET, Emsisoft, Avast. Чтобы проверить работоспособность дешифратора, необходимо проверять полностью весь диск, а то и не один. Судя по сообщениям на форуме, далеко не все гладко получается с расшифровкой crypt/cryp1/crypz.
  • отредактировано 4 фев PM
    Avast releases Three more Decryption Tools for Ransomware Victims

    Мы хотели бы отметить, что существуют бесплатные инструменты дешифрования уже имеющиеся для этих штаммов. Исследователи безопасности Майкл Гиллеспи и Фабиан Wosar проделали большую работу и представили свои собственные решения для дешифровки этих штаммов.

    Теперь вы можете быть удивлены, почему мы решили выпустить инструменты для этих штаммов, если другие инструменты уже доступны? Ну, это всегда лучше иметь несколько (бесплатно) вариантов и найти тот, который лучше всего работает для вас.

    HiddenTear
    HiddenTear is one of the first open-sourced ransomware codes hosted on GitHub and dates back to August 2015. Since then, hundreds of HiddenTear variants have been produced by crooks using the original source code. HiddenTear uses AES encryption.

    File name changes: Encrypted files will have one of the following extensions (but not limited to): .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.

    Ransom message: After encrypting files, a text file (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML) appears on the user’s desktop.

    Jigsaw
    Jigsaw is a ransomware strain that has been around since March 2016. It’s named after the movie character “The Jigsaw Killer”. Several variants of this ransomware use the Jigsaw Killer’s picture in the ransom screen.

    File name changes: Encrypted files will have one of the following extensions: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush.

    Stampado
    Stampado is a ransomware strain written using the AutoIt script tool. It has been around since August 2016. It is being sold on the dark web, and new variants keep appearing. One of its versions is also called Philadelphia.

    File name changes: Stampado adds the “.locked” extension to the encrypted files. Some variants also encrypt the filename itself, so the encrypted file name may look like this “document.docx.locked” or 85451F3CCCE348256B549378804965CD8564065FC3F8.locked.

    https://blog.avast.com/avast-releases-three-more-decryption-tools-for-ransomware-victims
  • отредактировано 15 июн PM
    Alleged Master Keys for the Dharma Ransomware Released on BleepingComputer.com
    Out of the blue, someone posted in the BleepingComputer.com forums the supposed master decryption keys for the Dharma Ransomware. This post was created at 1:42 PM EST by a member named gektar in the Dharma Ransomware Support Topic and contained a Pastebin link to a C header file that supposedly contains these master decryption keys.
    https://www.bleepingcomputer.com/news/security/alleged-master-keys-for-the-dharma-ransomware-released-on-bleepingcomputer-com/

    судя по статье получены мастер-ключи для Crysis.dharma, следует ожидать в ближайшее время расшифровки для данного варианта Grysis.

    подробнее о Dharma Ransomware можно узнать в русском блоге ID Ransomware
    update:
    LK обновила дешифратор RakhniDecryptor до версии 1.17.17 с возможностью расшифровки Crysis.dharma.

    ESET обновил Crysis decryptor до версии 2.0.3 с поддержкой расширения *.dharma
    [2017.03.02 21:11:30.715] - .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT.. Crysis decryptor
    [2017.03.02 21:11:30.715] - .::EE::::EE:SS:::::::.EE....EE....TT...... Version: 2.0.3.0
    [2017.03.02 21:11:30.715] - .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT...... Built: Mar 2 2017
    [2017.03.02 21:11:30.730] - .::EE:::::::::::::SS:.EE..........TT......
    [2017.03.02 21:11:30.730] - .::EEEEEE:::SSSSSS::..EEEEEE.....TT..... Copyright © ESET, spol. s r.o.
    [2017.03.02 21:11:30.730] - ..::::::::::::::::::.................... 1992-2017. All rights reserved.


    [2017.03.02 21:11:30.730] - INFO: Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma
    Yesterday, I wrote about how someone posted in the BleepingComputer.com forums the alleged master decryption keys for the Dharma Ransomware. This was done in the same manner that the keys for Crysis were release, which Dharma is based on.

    Kaspersky has tested the keys and has determined that they are indeed legitimate and can be used to encrypt Dharma encrypted files. These keys have been included in their RakhniDecryptor, which I have tested against a Dharma infection. The decryptor worked flawlessly!

    For those who have been infected by the Dharma ransomware and still have files that are encrypted, you can use the guide below to decrypt the files for free. If you need help decrypting your files, feel free to ask in the Dharma Ransomware Help & Support Topic.

    Update 3/2/17 10:08 AM EST: Right after I posted this article, I saw that ESET also released an updated decryptor that support the Dharma Ransomware. More info here.
    Пресс-релиз о выпуске дешифраторов для Dharma Ransomware на форуме Bleepingcomputer.
    Аваст так же обновил свой дешифратор для Crysis до версии 1.0.52, добавил поддержку расшифровки dharma

    Расшифровки Crysis.wallet пока что нет.
    Trendo Micro добавила расшифровку для Crysis.dharma в дешифратор Ransomware File Decryptor
    Updated: 13 Mar 2017, ver: 1.0.1659

    Crysis .{id}.{email address}.xtbl, .{id}.{email address}.dharma, crypt
  • отредактировано 2 июн PM
    Выпущен мастер-ключ BTCWare Ransomware, доступен бесплатный дешифратор

    Пользователи, у которых были файлы, зашифрованные с помощью старых версий BTCWare ransomware, могут восстановить свои файлы бесплатно после того, как исследователи безопасности создали decrypter для этого семейства ransomware. Работа над этим дешифратором началась в конце апреля.
    .[< email address >].btcware
    .[< email address >].cryptobyte
    .[< email address >].cryptowin
    .[< email address >].theva
    После выпуска начальной версии BTCWare Decrypter в начале месяца пользователь выпустил мастер-ключ дешифрования для BTCware ransomware на форумах BleepingComputer. Хотя мы не знаем, является ли этот пользователь, называющий себя checker123, автором BTCWare ransomware или членом конкурирующего отряда Ransomware, саботирующего их конкуренцию, мы приветствуем это в любом случае.

    https://www.bleepingcomputer.com/news/security/btcware-ransomware-master-key-released-free-decrypter-available/

    BEGIN RSA PRIVATE KEY
    MIICWwIBAAKBgQCcLarR70p/JVvcJLtMAux3+xw7pftUqJE/mQGgz8FZTf5svodM
    KZBVo6T9gcE9cFR9DsrIWhQ4PmbYbkxqL1f4Kdi/SXSZplZ+ZJ0JzRAW/0PPe+i+
    obKQjPr25iTqQDfP73aXpg2N8N9uiw5oh/nCgjnP4zinN17U4Sdmal2eywIDAQAB
    AoGAUI/GA9DZrsiIoABalRUVAbcIk0RFZyAk/JdinZ9Nb1GqIlIN3J28FFD7tMEP
    +y9Mhc3xkHPW5kRaLN6IkGWnjE9B6mGyjFzT6qHo1TpIVvslo6gEcqlPrPZMzrxh
    S1OrIsM7jRmtO9rKwHZnGmABilb6Fktg+jS+1PuGA/SdZIECQQDMnu9KMUUrk6LD
    ZYVmhBun380QuEfWdJqRoyJx2qxu+1pFFQrmhNYy7fjqwDqj9l6qJkhzjhuGE39m
    viOLltSrAkEAw2TXxQHjD8IHblz6V9/U2JcK9pXXVN1BpcoT52DixaGkR6G3uJhS
    JcJdCWbIzY2xmIYMN/PObLGQ+ysfzeEeYQJANZvGMXfrGVmaoPquEoe1/ythPGor
    WAJApLtKwO17k7ACnGrA6lgPDlTOjCJEusRHVOimvq+SgnQFQtO52E5x9QJAVPrL
    2PPsJBNYFgi8HHHN6XEvpHUg1Njxz0AnDe+WUSvu/fR4qgEdYSy6N/eLB9NDVTmf
    oMoZki5cBtEHoQvyoQJAaPblJj1ltbmKrKzIihD0gP2Kv0FY++EfhUcw089K5t5C
    5U4Gk3cHq1qvflDWYw2Y4cZblC/mCConK5mEHEFjAg==
    END RSA PRIVATE KEY

    https://pastebin.com/r75dnAAG

    https://download.bleepingcomputer.com/demonslay335/BTCWareDecrypter.zip

  • отредактировано 2 июн PM
    На форуме Bleepingcomputer.com опубликована новая порция мастер-ключей шифратора Crysis для варианта Crysis.wallet,
    Complete set of master keys:

    https://pastebin.com/DXHySphQ

    Enjoy!

    думаю, в ближайшее время будут обновлены дешифраторы от ЛК, Avast, ESET.

    Wallet Ransomware Master Keys Released on BleepingComputer. Avast Releases Free Decryptor
    This morning a newly registered member posted the master decryption keys for the Wallet Ransomware in the BleepingComputer.com forums. This post was created at 9:13 AM EST by a member named lightsentinelone in the Dharma Ransomware Support Topic and contained a Pastebin link.

    https://www.bleepingcomputer.com/news/security/wallet-ransomware-master-keys-released-on-bleepingcomputer-avast-releases-free-decryptor/

    Avast уже обновил дешифратор до версии 1.0.103

    *** UPDATE from May 18, 2017: Avast's free CrySiS ransomware decryption tool now also decrypts .WALLET file extensions***

    http://files.avast.com/files/decryptor/avast_decryptor_crysis.exe

    ЛК обновил RakhniDecryptor до версии 1.19.3.0

    20:25:09.0424 0x0b24 Trojan-Ransom.Win32.Rakhni decryption tool 1.19.3.0 May 18 2017
    20:26:08.0017 0x1150 Found: 33
    20:26:08.0017 0x1150 Decrypted: 33
    20:26:08.0017 0x1150 ================================================================================
    20:26:08.0017 0x1150 Scan finished
    20:26:08.0017 0x1150 ================================================================================
    http://media.kaspersky.com/utilities/VirusUtilities/EN/rakhnidecryptor.zip

    ESET обновил Crysis decryptor до версии 2.0.4
    [2017.05.19 19:18:43.567] - Begin
    [2017.05.19 19:18:43.577] -
    [2017.05.19 19:18:43.577] - ....................................
    [2017.05.19 19:18:43.577] - ..::::::::::::::::::....................
    [2017.05.19 19:18:43.577] - .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT.. Crysis decryptor
    [2017.05.19 19:18:43.577] - .::EE::::EE:SS:::::::.EE....EE....TT...... Version: 2.0.4.0
    [2017.05.19 19:18:43.577] - .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT...... Built: May 19 2017
    [2017.05.19 19:18:43.577] - .::EE:::::::::::::SS:.EE..........TT......
    [2017.05.19 19:18:43.587] - .::EEEEEE:::SSSSSS::..EEEEEE.....TT..... Copyright (c) ESET, spol. s r.o.
    [2017.05.19 19:18:43.587] - ..::::::::::::::::::.................... 1992-2017. All rights reserved.
    [2017.05.19 19:18:43.587] - ....................................
    [2017.05.19 19:18:43.587] -
    [2017.05.19 19:18:43.587] -
    [2017.05.19 19:18:43.587] -
    [2017.05.19 19:18:43.587] - INFO: Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .onion, .wallet

    https://download.eset.com/com/eset/tools/decryptors/crysis/latest/esetcrysisdecryptor.exe
  • отредактировано 25 май PM
    Avast выпускает новый инструмент для дешифрования вымогателей BTСWare.

    Jakub Křoustek, 24 May 2017
    Special thanks to Ladislav Zezula for working on this blog post and the decryptor tool!

    If you’ve been hit by the BTCWare ransomware, you can now recover your files without paying the ransom. To decrypt your files, download Avast’s free decryptor tool here.

    BTCWare ransomware began spreading in March 2017. Since then, we have seen five variants, that can be distinguished by the extension of encrypted files:

    foobar.docx.[sql772@aol.com].theva
    foobar.docx.[no.xop@protonmail.ch].cryptobyte
    foobar.bmp.[no.btc@protonmail.ch].cryptowin
    foobar.bmp.[no.btcw@protonmail.ch].btcware
    foobar.docx.onyon
    After execution, the ransomware generates a random password (one per machine), which is then used to create of the encryption key. The password is then encrypted with a public key (hardcoded in the binary) and presented as a User ID in the ransom files. The ransomware uses MS CryptoAPI to encrypting files - older samples use the RC4 cipher, newer ones (since May 2017) use AES-192.

    The encrypted symmetric key is stored as a base64-encoded string %USERPROFILE%\Desktop\key.dat.
    On May 16th, 2017, the master private key was published by BleepingComputer. The Avast BTCWare decryptor tool doesn’t use this key, because the key doesn’t work on all variants. Instead, a brute force is used to retrieve the password that has been used by the ransomware to encrypt files.
    https://blog.avast.com/avast-releases-decryptor-tool-for-btcware-ransomware

    https://www.avast.com/ransomware-decryption-tools#btcware
    протестировал расшифровку варианта *.theva
    ключ был найден и все тестовые файлы успешно расшифрованы:
    passw:
    33hmqLLP95F7539eVcB5f53O6JepJ4L3hch3CwmcA0BPTo438OsI3UegKwVWbd93u3700h76o6
    
    добавлю, что данный ключ успешно использован для расшифровки файлов и другим инструментом, созданным М.Гиллеспи
    https://download.bleepingcomputer.com/demonslay335/BTCWareDecrypter.zip
  • отредактировано 2 июн PM
    AES-NI Ransomware Dev выпускает ключи дешифрования
    UPDATE 2: Avast security expert Jakub Kroustek has confirmed that the provided AES-NI master key is indeed authentic, successfully decrypting a version of this ransomware spotted on May 7. Other researchers, including TeslaCrypt expert BloodDolly, have told Bleeping Computers they were also able to unlock older versions of this ransomware. AES-NI victims can use the decrypter included in the download package to unlock their files, but if they don't trust the file, Avast is currently working on its own separate decrypter that will be available shortly.
    ОБНОВЛЕНИЕ 2: Эксперт по безопасности Avast Якуб Кроутек подтвердил, что предоставленный мастер-ключ AES-NI действительно аутентичен и успешно расшифровывает версию этого вымогателя, обнаруженного 7 мая. Другие исследователи, в том числе эксперт TeslaCrypt BloodDolly, сообщили Bleeping Computers, что они также могут разблокировать более старые версии этого шифратора. Жертвы AES-NI могут использовать дешифратор, включенный в пакет загрузки, чтобы разблокировать свои файлы, но если они не доверяют файлу, Avast в настоящее время работает над своим отдельным дешифратором, который будет доступен в ближайшее время.
    RSA 2048 private master key for offline AES-NI keys. https://www.sendspace.com/file/fz133k pass: 85W0vhRkPbqcvaTafHknhMRP

    https://www.bleepingcomputer.com/news/security/aes-ni-ransomware-dev-releases-decryption-keys-amid-fears-of-being-framed-for-xdata-outbreak/
    Создатель AES-NI уже сдержал данное журналистам обещание и окончательно свернул вредоносные операции. Он опубликовал мастер-ключ, подходящий для ряда версий AES-NI, легитимность которого была подтверждена известным ИБ-экспертом Якубом Крустеком (Jakub Kroustek). Теперь пострадавшие могут воспользоваться дешифровальщиком самого хакера, а если нет желания доверять этим файлам, можно подождать релиза бесплатного инструмента компании Avast, работа над которым уже идет полных ходом.
    https://xakep.ru/2017/05/26/aes-ni-keys/
    Avast оперативно выпускает дешифратор для AES-NI

    AES_NI is a ransomware strain that first appeared in December 2016. Since then, we’ve observed multiple variants, with different file extensions. For encrypting files, the ransomware uses AES-256 combined with RSA-2048.

    The ransomware adds one of the following extensions to encrypted files:
    .aes_ni
    .aes256
    .aes_ni_0day

    In each folder with at least one encrypted file, the file "!!! READ THIS - IMPORTANT !!!.txt" can be found. Additionally, the ransomware creates a key file with name similar to: [PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.aes_ni_0day in C:\ProgramData folder.

    The file “!!! READ THIS - IMPORTANT !!!.txt” contains the following ransom note:
    j9hs39gkra83.png

    http://files.avast.com/files/decryptor/avast_decryptor_aes_ni.exe
  • отредактировано 1 июн PM
    Выпущены мастер-ключи для расшифровки XData Ransomware.
    In what has become a welcome trend, today another ransomware master decryption key was released on BleepingComputer.com. This time the key that was released is for the XData Ransomware that was targeting the Ukraine around May 19th 2017.

    At 12:31PM EST, a new member named guest0987654321 posted a RSA private decryption key in our XData support topic and implied that this was the master decryption key for the ransomware.
    HERE IS PRIVATE:
    
    00 08 00 00 A8 FD 62 08 8C E3 41 9D 55 29 62 01 02 B6 AF A1 3D BE 3A C2 C8 7A 6F D3 37 31 C1 51
    CC ED A5 2E 7D A1 9B 53 01 6C A8 71 F2 E4 BD 51 4E 8B 7E D0 EA 5C 83 2C 36 17 C0 C6 39 3B FE 54
    26 1D E2 42 6E 45 7D CE 1A 8C 1F C0 38 81 6D E8 7C C5 43 EE 28 D8 41 6F 6B 3E 0F 2C 49 05 3B 0B
    74 46 60 93 FD 1D D6 DB F5 21 57 49 3E D5 EB 37 64 DD 2C 2A 0A D8 13 9E B1 38 3D D2 2A 56 92 0E
    76 6D A2 AE 44 57 F7 9C D8 25 5E 62 9B FC FF F3 7F F9 7E A0 DE 57 F7 33 7D 97 7B A1 41 A8 EC AC
    E0 9F D0 06 3D 3D DA F9 64 9B 21 DB F3 D2 94 C8 B9 0C DE A2 3C DE E3 18 A1 46 9B FE AE B0 94 1D
    CC 40 12 4E 5A CE B1 74 BA 4A F2 D2 C7 97 5C 6C B6 BB 6B D1 32 8F F1 63 44 8F AD 58 0D 53 80 B7
    54 A6 C7 05 CD D7 60 FE AB 98 C8 19 17 94 3B 31 14 AF 84 F4 88 B6 68 8D 6B FC FD 84 71 EC F2 36
    39 50 F9 29 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
    00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
    00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
    00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
    00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
    00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
    00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
    00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
    00 01 00 01 22 D7 5B 06 F8 45 42 99 F5 9C FA 9F CA B7 6F AE 86 D4 59 B9 1F 2C 5F 31 E5 07 55 1C
    50 6C 0E CA 6F 0C 8A C1 AA 61 84 B9 39 A2 FF 85 6B F4 46 C9 3C 08 A6 E2 CE A4 47 12 97 6A 4F 1D
    7A 5E 5E EF E3 5C 60 7B C5 ED 6D FE 6B A8 03 C9 13 30 78 B8 F9 A2 DC 9A E4 39 7F 57 5A 16 C1 FD
    B2 93 70 06 13 01 BB F2 CD AF 7A 17 97 E4 F3 02 10 C1 A9 01 62 0A FA C0 95 39 4B 45 B1 84 F7 C8
    13 92 B7 1F 6F CC 9B 2C 9D 03 EE 26 24 7A 5E 19 68 8E C6 D6 6C 98 6E 55 EC 66 26 4A 6C FC 16 82
    A0 00 61 F5 41 51 65 C2 EF 6E ED 33 7F A2 36 C9 BB A7 16 BB 38 1C 1D 3A 65 A9 A8 DD D0 16 49 C1
    34 3E 15 AD 07 C0 33 05 C2 BA 8B 5B A5 75 BF 29 2C 17 95 DD C2 4D 32 0D F5 E9 5D EC D2 7D 77 61
    2F 82 04 3B 89 2A B8 E7 AB D3 90 7D 99 67 CC 16 32 3C CC 5F 2C BF B6 9E 16 D3 9F 74 4A 1E EC C3
    FA E2 B8 81 AE 57 10 04 9A 77 EE 5F BA AF D8 AE 44 C7 BF D0 7D 82 4A 11 8B 22 40 C9 96 96 11 64
    46 A2 07 92 20 57 97 D0 41 C5 36 59 3D 34 C7 EE F7 26 99 76 A1 85 02 0B 8F A1 05 C6 F4 C1 19 44
    38 C3 EC 0D 37 B4 BE B4 D1 5B 59 B2 BA AB 98 6F 7E AD 4C 16 37 6E 25 1F 8C 7C 2D 1D 77 A7 E8 54
    95 3C 66 B3 9D 68 54 86 D8 6A 40 75 02 BF B2 C2 0C A4 65 01 D4 49 7B 47 88 E7 9E A9 F0 C8 42 35
    5C FD 72 DD F8 24 C5 2A 59 8E 4E 52 DB D5 D1 DD 95 5F D5 73 66 C4 7E 54 37 58 3A AE 13 88 68 6B
    2F FC D6 23 B8 21 B1 E0 22 0A E1 9C D7 DA 75 2B 41 5A 7A 7A 98 A2 AE C2 23 9B 4E D6 B4 3F ED 98
    E4 E4 16 E3 0F C0 C5 EC 83 87 CF 45 04 8E EA F6 7D 01 34 17 48 87 1D 72 19 8C 3A 8A 9A EE 8D A6
    5E 59 C8 CC 67 2E E5 51 63 6A 03 C0 FE C0 1E 5F 9A 67 00 7F 7D BA EB CC 87 5A 10 57 AB AC 5C E3
    76 7F 1C BD 6D 78 0F 7F C4 7A 6F FC 3E 1D F2 81 A2 80 86 69 E4 95 2D EB 0C 21 2A EB 29 99 FB 3B
    AA BA 4C E4 AD 58 32 E4 3A 98 19 83 39 52 6E 04 17 BE 6D F8 36 7D 6D 06 53 5E 79 61 2F 08 1C D4
    60 8C 6D 28 F3 84 93 86 B8 3A 92 FD 0E 07 77 44 F3 16 DF C2 C7 75 6A EB FF 6B 6D 6C A6 58 91 22
    A3 3E 75 02 6D 61 38 4A 1F 93 BF FB 79 09 63 B6 42 F7 EA D0 96 3A B9 A4 F6 4A F1 AE A5 99 29 31
    96 BD 32 25 76 82 01 13 C7 AF 79 E2 82 90 EC 68 99 C5 2A 08 B2 24 D7 7C 5A EE 2D 20 23 BD FA B8
    6E 33 9F 05 72 13 CD 82 90 5F 87 FE 42 EC 57 16 F0 60 48 AC 32 27 47 B4 FA 12 5B 25 98 F2 0B 04
    01 14 99 85 99 69 64 5D 1F 38 06 1A 1D 22 30 3E C5 D6 84 4D 36 5B 29 09 EB FF 97 99 C8 82 73 6D
    E8 13 93 1D 63 8D F7 00 D6 AC B3 DC 41 0D F9 B3 88 E6 F6 4A EC FE 0F 4D 1F BB 38 A0 D6 21 3C 3F
    79 C1 1D 35 6F 60 38 AF A6 14 F5 3F 33 33 B6 B3 7D B0 F7 66 81 DF C0 F9 DA 31 AD FC 16 8B 40 1F
    15 71 86 84 2A 3E BC D6 31 79 10 E7 44 77 B7 3A F9 1A A8 5F B1 41 BF 2C 25 F5 E5 37 E1 41 B0 C8
    8E 30 D3 00 B9 5B C2 72 FB 90 E4 EC 59 A5 AA 18 C8 1C 1A 07 4E 0C 0C F7 D5 B9 68 DB 70 D5 A1 A7
    B4 C8 AB E4 0A 76 F6 22 74 91 1A 8A 13 30 C6 06 0A 90 30 70 C6 75 1A 03 44 31 BC A6 0D 89 85 86
    81 0B 3B 80
    


    Now that XData is no longer running on the computer, we can begin to decrypt the encrypted files. First you need to download the RakhniDecryptor, extract the program, and then run it.

    https://www.bleepingcomputer.com/news/security/xdata-ransomware-master-decryption-keys-released-kaspersky-releases-decryptor-/

    Rakhni Decryptor (updated 30-5-2017 with XData)

    рабочая версия дешифратора должна быть 1.20.1.0

    http://www.nomoreransom.org/uploads/RakhniDecryptor.zip
    ESET releases decryptor for AESNI ransomware variants, including XData
    Releasing master keys for older ransomware variants has become somewhat of a trend these days. Shortly after the release of the updated Crysis decryptor, master keys for some of the variants of the AES-NI family were published – specifically Win32/Filecoder.AESNI.B and Win32/Filecoder.AESNI.C, also known as XData.

    Based on this, ESET experts have prepared an AES-NI decryption tool.

    The tool works for files encrypted by the offline RSA key used by AES-NI variant B, which adds the extensions .aes256, .aes_ni, and .aes_ni_0day to the affected files, as well as files affected by AES-NI variant C (or XData) with the extensions .~xdata~.

    https://www.welivesecurity.com/2017/05/31/eset-releases-new-decryption-tool-aes-ni-ransomware/
    [2017.06.01 08:27:46.641] - .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT.. AES-NI decryptor
    [2017.06.01 08:27:46.641] - .::EE::::EE:SS:::::::.EE....EE....TT...... Version: 1.0.0.0
    [2017.06.01 08:27:46.641] - .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT...... Built: May 31 2017
    [2017.06.01 08:27:46.641] - .::EE:::::::::::::SS:.EE..........TT......
    [2017.06.01 08:27:46.641] - .::EEEEEE:::SSSSSS::..EEEEEE.....TT..... Copyright (c) ESET, spol. s r.o.
    [2017.06.01 08:27:46.641] - ..::::::::::::::::::.................... 1992-2017. All rights reserved.

    [2017.06.01 08:27:46.641] - INFO: Supported AES-NI file extensions: .aes256, .aes_ni_0day, .aes_ni, .decrypr_helper@freemail_hu, .~xdata~

    Clean an AES-NI or XData infection using the ESET AES-NI decryptor

    http://support.eset.com/kb6467/

    https://download.eset.com/com/eset/tools/decryptors/aesni/latest/esetaesnidecryptor.exe
    Avast выпустил дешифратор для XDATA, варианта AES_NI,
    XData is a ransomware strain that was derived from AES_NI and like WannaCry, it uses the Eternal Blue exploit to spread to other machines.
    http://files.avast.com/files/decryptor/avast_decryptor__xdata.exe

  • отредактировано 16 июн PM
    Мы рады сообщить, что Федор Синицын, старший аналитик вредоносных программ в «Лаборатория Касперского», обнаружил слабость в Jaff Ransomware и смог выпустить дешифратор для всех вариантов, выпущенных до настоящего времени. Для тех, кто был заражен Jaff Ransomware и имел свои файлы, зашифрованные расширениями .jaff, .wlu или .sVn, этот дешифратор может бесплатно восстановить ваши файлы.
    https://www.bleepingcomputer.com/news/security/decrypted-kaspersky-releases-decryptor-for-the-jaff-ransomware/

    однако есть и отрицательные отзывы о возможности расшифровки .sVn:
    Beware of this decryptor. I tried it on .sVn encrypted files and most of the restored content is now corrupt. Do not let it delete the original encrypted files. Best try it on a clone of your drive. If you only need to recover a handful of critical files, you may be in luck.
    https://www.bleepingcomputer.com/forums/t/646350/jaff-ransomware-help-support-topic-jaff-decryptor-readmehtml-jaff-svn/#entry4261707

    BloodDolly добавил ремарку по этому отзыву:
    It is not a problem of the decryptor, but Jaff Ransomware itself. There are several bugs in this ransomware and the biggest one is shared crypto context between encryption threads. There is a pretty high chance that AES IV will be overwritten when 2 or more threads are encrypting files in the same time because IV is stored only internally in crypto context. This will lead to corruption of encrypted files. Machines with more CPUs/cores has higher chance for file corruption.
  • отредактировано 11 окт PM
    Security researcher Michael Gillespie has released a new version of the BTCWare ransomware decrypter after the author of the eponymous ransomware has leaked the private key for his latest version.

    The BTCWare author announced this leak on the Bleeping Computer forum thread that offers support for victims of BTCWare infections. BTCWare is one of the most active ransomware families today, which you can easily tell by the size of the support forum threat that has now reached 20 pages, compared to other ransomware support threads that are only 1-2 pages long.

    The crook made his announcement on June 30, saying he plans to officially release the private decryption key in five days, but agreed to provide Gillespie with a copy of the private decryption key in advance after the researcher reached out to verify his identity.
    Below is a list of all the BTCWare file extensions Gillespie's decrypter can handle.

    .[< email address >].btcware
    .[< email address >].cryptobyte
    .[< email address >].cryptowin
    .[< email address >].theva
    .[< email address >].onyon
    .[< email address >].master
    .onyon
    .xfile
    The author's mode of operation was confirmed once more when on July 2 Gillespie spotted a new BTCWare ransomware version that uses a new extension ( .[< email >].aleta ) and tries to call itself Aleta Ransomware.
    https://www.bleepingcomputer.com/news/security/new-btcware-ransomware-decrypter-released-for-the-master-variant/

    http://id-ransomware.blogspot.ru/2017/03/btcware-ransomware.html
    проверено на вариантах .[< email address >].theva, *.onyon: дешифратор рабочий.
    [+] Successfully decrypted key: 33hmqLLP95F7539eVcB5f53O6JepJ4L3hch3CwmcA0BPTo438OsI3UegKwVWbd93u3700h76o6
    Selected directory: E:\deshifr\encode_files\BTCWare\theva\10

    Starting decryption...
    [+] File: E:\deshifr\encode_files\BTCWare\theva\10\15092014 16_55_03.xls decrypted!
    [+] File: E:\deshifr\encode_files\BTCWare\theva\10\AHCI.txt decrypted!
    [+] File: E:\deshifr\encode_files\BTCWare\theva\10\btcware_file.rar decrypted!
    [+] File: E:\deshifr\encode_files\BTCWare\theva\10\inf.txt decrypted!
    [+] File: E:\deshifr\encode_files\BTCWare\theva\10\keygpg.rar decrypted!
  • отредактировано 28 июл PM
    Выпущен дешифратор для всех трех вариантов оригинальной версии Petya Ransomware: RED/GREEN/GOLDENEYE!

    2zr34cw067qt.jpg

    https://github.com/hasherezade/petya_key/releases
    компания Malwarebytes Labs, совместно с независимой специалисткой, известной под псевдонимом Hasherezade, представила бесплатный декриптор. Подробную инструкцию по использованию инструмента можно найти в блоге компании, а исходники Hasherezade уже опубликовала на GitHub. Как и предполагалось, утилита работает против оригинальной версии шифровальщика, известной как Red Petya или просто Petya, обеих версий Green Petya, объединенного с Mischa, а также Goldeneye.

    https://xakep.ru/2017/07/27/petya-decryptor/




  • отредактировано 27 июл PM
    Trendo Micro так же добавили расшифровку вариантов оригинального PETYA RED/GREEN/GOLDENEYE
    The Petya tool has a special UI. To boot your OS back to normal, do the following:

    Select the Petya family on your machine from the ransomware note screen then choose a screen font color from the dropdown option.

    Enter your personal decryption code in the boxes found on the ransomware note screen.

    The decryption code is case sensitive.
    Click the Decrypt Key button to show the decrypt key in the text box.
    On the infected machine, enter the decrypt key from the tool and click Enter to reboot the machine and boot your OS back to normal.

    ncumwizvmgdq.jpg

    http://solutionfile.trendmicro.com/solutionfile/1114221/RansomwareFileDecryptor 1.0.1667 MUI.zip
  • отредактировано 3 окт PM
    хм, судя по некоторым файлам, возможно данный ключ
    :user ID packet: "HckTeam (HckTeam) "
    :signature packet: algo 1, keyid 528FE439E578490A
    E578490A/F107EA9F
    (sig created 2014-06-01)
    
    использовался злоумышленниками для шифрования KEY.PRIVATE в течение июня 2014 года в bat-encoder с шифрованием *.paycrypt@gmail_com
    (до 28.06.2014 г, когда был выпущен новый ключ с id HckTeam (HckTeam) <paycrypt@gmail.com> и keyid: 0x3639A9EE3ED78E85)

    т.о. я восстановил известным ключом "HckTeam (HckTeam) " несколько сессионных секретных ключей (secring.gpg)

    paycrypt (paycrypt) <paycrypt@gmail.com>
    0x369AE471 (создан 24.06.2014г)
    и расшифровал тестовые файлы от пользователя.
    +
    paycrypt (paycrypt) <paycrypt@gmail.com>
    0x23AE1FA6 (создан 25.06.2014г)
    +
    paycrypt (paycrypt) <paycrypt@gmail.com>
    0xF4CF450E (создан 25.06.2014г)
    добавлю, что наиболее полная и точная информация по bat-encoder была оперативно подготовлена на форуме DrWeb
    Признаки заражения: Файлы зашифрованы, дополнительные расширения *.paycrypt@gmail_com, *.unstyx@gmail_com и *.unblck@gmail_com, *.keybtc@gmail_com. Если у вас другие расширения - вам в другую тему.



    Информация по трояну: BAT.Encoder.2. Распространение этого трояна началось в середине мая 2014 года, но модификация с расширением *.paycrypt@gmail_com могла появиться позже.

    Расширение *.keybtc@gmail_com к файлам дописывает BAT.Encoder.23, его распространение началось 06.08.2014, вторая волна - 25.08.2014



    Криптография: GPG. Для paycrypt@gmail_com известны такие ключи: F107EA9F/E578490A и F05CF9EE/3ED78E85. Для unblck@gmail_com известен ключ F107EA9F/E578490A. Для unstyx@gmail_com известны ключи F107EA9F/E578490A и 01270FE6/F3E75FD0

    Для *.keybtc@gmail_com известен ключ A3CE7DBE



    Расшифровка: возможна для некоторых вариантов, которые идентифицируются по ID ключа:

    F05CF9EE/3ED78E85 - нет расшифровки.

    A3CE7DBE/AAB62875 - нет расшифровки. Но известен 1 случай, когда с этим ключом и *.keybtc@gmail_com расшифровка получилась!

    AAB62875 - нет расшифровки.

    F107EA9F/E578490A - есть расшифровка

    3DF229D3 - есть расшифровка

    01270FE6/F3E75FD0 - есть расшифровка
    https://forum.drweb.com/index.php?showtopic=318074
  • отредактировано 6 окт PM
    x4wze381xn0e.jpg
    The Bitdefender Labs team has released the BTCWare decryption tool, available either as a standalone free tool or as part of the Bitdefender Ransomware Recognition tool, which is available for download here (also for free).
    The decryption tool will not run if:

    It can’t find a valid ransom note
    It cannot find a valid encrypted file (i.e a file that is not corrupted)
    It can’t decrypt the User ID field in the ransom note
    It cannot pass the test of decrypting 5 random files in the folder / drive – this helps us protect from corruption files that might be encrypted with a different family of ransomware and that are stored in the same folder as BTCWare-encrypted ransomware.

    Examples of decrypted user-IDs from different malware versions:
    [.cryptobyte] – [SSLL-A332m8UneXS4oom962a4dTTzo-2017-07-31]
    [.onyon] – [DN-19701465958ig2oO1PxH3f32A971dTHXLM7NB0KIjRKV854E197013966619947408188ig2o76E55C60-2017-07-31]
    [.cryptowin] – [ADM-gZ5Lw14Im6qGM9tcv8kfA4sR5-2017-07-31]
    [.theva] -[OBAMA-7P5Yc37RuTFyxwtBVuvIq69SyFj7c728e1TQ3QY1ipWA1gQg4cmu83bGTsX6YwoUqYAGh1i7P92EQ38bMe2008-2017-07-31]
    [.master] – [3-76F93D951D611E203B45894ED48856B2532691C756DF21276E554528B664B5176E55C60-2017-07-31]

    As of the moment of writing this article, this malware family uses 9 different extensions grouped into the 3 encryption algorithms described above. We classify them into 4 different versions using the encryption type, as shown in the table below:
    Ver Extension used Encryption type Ransom-note name Decrypted
    1 .btcware RC4 <1KB chunked #_HOW_TO_FIX.inf YES
    1 .cryptobyte RC4 <1KB chunked #_HOW_TO_FIX.inf YES
    2 .onyon RC4 first 10MB only !#_DECRYPT_#!.inf YES
    2 .xfile RC4 first 10MB only !#_DECRYPT_#!.inf YES
    3 .cryptowin AES192 <1KB chunked #_HOW_TO_FIX.inf YES
    3 .theva AES192 <1KB chunked #_README_#.inf YES
    4 .master AES256 first 10MB only !#_RESTORE_FILES_#!.inf YES
    4 .aleta AES256 first 10MB only !#_READ_ME_#!.inf NO
    4 .blocking AES256 first 10MB only !#_READ_ME_#!.hta NO

    During decryption, a number of logs are generated and saved inside the %temp% folder. There are two types of logs, but the most relevant to the operation is the BitdefenderLog.txt file, where decryption results are stored.
    Чтобы создать наш инструмент, мы использовали скрытые секретные ключи, которые могут расшифровать почти все версии вредоносного ПО (v1, v2 и v3), а также расширение .master в версии 4 вредоносного ПО.
    https://labs.bitdefender.com/2017/09/btcware-decryption-tool-now-available-for-free/
    p.s.
    видим, что для расшифровки файлов необходима записка о выкупе, несколько зашифрованных файлов, наличие user ID в записке о выкупе, как минимум 5 зашифрованных файлов для проверки.
    добавлю, что формируется детальный лог:

    theva: (OK)
    Decryptor Started

    Your Files were affected by BTCWare V3 {.cryptowin,.theva} using AES192 with chunk-size = 1KB
    Found a valid ransom-note: [G:\DATA\shifr\encode_files\BTCware\theva\10BitDefender\#_README_#.inf]
    Found a valid user-ID: [xQZ7cYHcLB0xWev/2Ges51n7PfSX7v/E0VStm5Fyfb+ULKLBA/QyofB8+nW9G1Gu4bToCl+DctS67Hpl7I4KrMsvRwh7Ze87bYhSzOsKCUg4d3jCY1p7SFl/9t6eKv6DNc5FHsCJtIKb3B1edPGGhiVAeycew/5IXD9hdHJGTaA=]
    Decrypted user-ID: [SX-33hmqLLP95F7539eVcB5f53O6JepJ4L3hch3CwmcA0BPTo438OsI3UegKwVWbd93u3700h76o6-2015-07-08]
    Searching for encrypted files: [50] encrypted files found
    Testing decryption for 5 random encrypted files:
    ...
    Probing Finished [SUCCESS]


    Decrypt Files:
    Decrypt [G:\DATA\shifr\encode_files\BTCware\theva\10BitDefender\WUAUSERV.DLL.[sql772@aol.com].theva]: [V3] [SUCCESS]
    ....
    Total decrypted files: [43]

    Scan finished!

    onyon: (OK)
    Decryptor Started

    Your Files were affected by BTCWare V2 {.onyon,.xfile} using RC4 with chunk-size = 10MB
    Found a valid ransom-note: [G:\DATA\shifr\encode_files\BTCware\onyon\50\bitdef_test\!#_DECRYPT_#!.inf]
    Found a valid user-ID: [pui7KbO0JLYa4c9P9243EH5dGV+Mjpcp2o9t/GBSVntMB6p38mY3SmZDq+DxnVb1H28pSMATEY08IBz1khGnSqfaWBhsUPGXqrWsH0DEiyhdHd/71MfVMAIx9atJ5JqOcig56bPZHOCUxzP7f9CEeAbeBGHTkv1mkV5P510ORqM=]
    Decrypted user-ID: [OBAMA-lUNz3r1hT100C44516fL6kzmp0DzIUW52ZL30D9tCYQX3ddz4DJERTb64qKXi39A-2017-07-07]
    Searching for encrypted files: [24] encrypted files found
    Testing decryption for 5 random encrypted files:
    ....
    Probing Finished [SUCCESS]

    Decrypt Files:
    ...
    Total decrypted files: [24]

    Scan finished!
    cryptowin: (OK)
    Decryptor Started

    Your Files were affected by BTCWare V3 {.cryptowin,.theva} using AES192 with chunk-size = 1KB
    Found a valid ransom-note: [G:\DATA\shifr\encode_files\BTCware\cryptowin\10\bit_def_test\#_HOW_TO_FIX.inf]
    Found a valid user-ID: [ZlVoCSJf+/Ntp26YFXbaRffwFAO63Ssgai9MUlaPtKYHPMSO7PVhqaoUxArenZTrqByWydQek91IPNcqmcJNQkeOtCul/8IvuxZhs91WxC8TUx6wvX2nAPtlmHoOT2Pa35AGaWjIGdvo4Kt3IIvqQu4Z8DJoA2+M0541oTIdK0g=]
    Decrypted user-ID: [ADM-Q01Xa5aI2TaqIF3sB38ek98S3-2017-07-07]
    Searching for encrypted files: [24] encrypted files found
    Testing decryption for 5 random encrypted files:
    ....
    Probing Finished [SUCCESS]

    Decrypt Files:
    Decrypt [G:\DATA\shifr\encode_files\BTCware\cryptowin\10\bit_def_test\15092014 16_55_03.xls.[no.btc@protonmail.ch].cryptowin]: [V3] [SUCCESS]
    .....
    Total decrypted files: [24]

    Scan finished!
    master: (OK)
    Decryptor Started

    Your Files were affected by BTCWare V4 {.master,.aleta,.blocking,.gryphon} using AES256 with chunk-size = 10MB
    Found a valid ransom-note: [G:\DATA\shifr\encode_files\BTCware\master\10\bit_def_test\!#_RESTORE_FILES_#!.inf]
    Found a valid user-ID: [9R6bU4aF6u6rqZU9FcpCsGSDlD5h3o2lSrEbu6hzwRA01yM4VtE6W33uYUhpby1enyWGBFCwvA0zGcAjNe5XMG4mdOgA7KBiqHW+fGZiLnMeJdtTycKt27ieCkZkKzmsPYXXcXDkXBe6yIPH6wv62c1V/QAl7x9b8DmO42761tI=]
    Decrypted user-ID: [3-77881E1D8228D88E347306CE888335BB18951329755514507628F5C7CADDD6E57627E360-2017-07-07]
    Searching for encrypted files: [19] encrypted files found
    Testing decryption for 5 random encrypted files:
    ....
    Probing Finished [SUCCESS]


    Decrypt Files:
    Decrypt [G:\DATA\shifr\encode_files\BTCware\master\10\bit_def_test\AHCI.txt.[teroda@bigmir.net].master]: [V4] [SUCCESS]
    ....
    Total decrypted files: [19]

    Scan finished!

    понятно, что для расшифровки файлов использованы полученные мастер-ключи.
    BTCWare Family (семейство BTCWare):
    BTCWare Original: .btcware, .cryptobyte, .cryptowin, .theva
    BTCWare progeny: .xfile, .blocking
    BTCWare-Master: .master
    BTCWare-Onyon: .onyon
    BTCWare-Aleta: .aleta
    BTCWare-Gryphon: .gryphon
    BTCWare-Nuclear: .nuclear
    BTCWare-Wyvern: .wyvern
    BTCWare-PayDay: .payday

    http://id-ransomware.blogspot.ru/2017/03/btcware-ransomware.html

  • отредактировано 17 окт PM
    Michael Gillespie так же обновил свой дешифратор BTCWareDecrypter.exe до версии ## [1.1.0.12]
    по сравнению с версией 1.1.0.1 добавлены новые возможности:
    ## [1.1.0.12]
    + Added support for .[<email>]-id-<id>.payday decryption (ONLY SUPPORTED IF YOU HAVE THE AES KEY - IT CANNOT BE BRUTEFORCED)

    ## [1.1.0.11]
    + Added support for .[<email>]-id-<id>.wyvern decryption (ONLY SUPPORTED IF YOU HAVE THE AES KEY - contact me if the malware was stopped and the system has not been rebooted)

    ## [1.1.0.10]
    + Added support for .[<email>]-id-<id>.nuclear decryption (ONLY SUPPORTED IF YOU HAVE THE AES KEY - contact me if the malware was stopped and the system has not been rebooted)

    ## [1.1.0.9]
    + Added option to force decryption as a certain version of the malware than what is auto-detected (rare cases)
    + Added ransomware version and bug explanations to changelog

    ## [1.1.0.8]
    + Added support for .nuclear decryption (ONLY SUPPORTED IF YOU HAVE THE AES KEY - contact me if system has not been rebooted since infection)

    ## [1.1.0.7]
    + Added support for .blocking decryption (ONLY SUPPORTED IF YOU HAVE THE AES KEY - IT CANNOT BE BRUTEFORCED)
    + Added support for .encrypted decryption (ONLY SUPPORTED IF YOU HAVE THE AES KEY - IT CANNOT BE BRUTEFORCED)
    + Added support for .crypton decryption (ONLY SUPPORTED IF YOU HAVE THE AES KEY - IT CANNOT BE BRUTEFORCED)

    ## [1.1.0.6]
    + Added support for .gryphon decryption (ONLY SUPPORTED IF YOU HAVE THE AES KEY - contact me if system has not been rebooted since infection)
    + Fixed bug with detecting AES key provided

    ## [1.1.0.5]
    + Added support for .aleta decryption (ONLY SUPPORTED IF YOU HAVE THE AES KEY - IT CANNOT BE BRUTEFORCED)

    ## [1.1.0.4]
    + Fixed enabling of decrypt button if directory is selected before a key is entered
    + Added option to force RC4 decryption vs AES (rare cases)

    p.s.: wyvern ко всему прочему автоматически перегружает систему, чтобы исключить возможность восстановления ключа.
  • отредактировано 12 окт PM
    проверил возможность расшифровки после атаки WNCRY с помощью утилиты Wannakey

    Специалист французской компании Quarkslab Адриен Гинье (Adrien Guinet) сообщает, что он нашел способ расшифровать данные, пострадавшие в результате атаки шифровальщика WannaCry.

    https://github.com/aguinet/wannakey
    This software has only been tested and known to work under Windows XP, 7 x86, 2003, Vista and Windows Server 2008 (tests by @msuiche).
    v2.0
    ----
    * automatically find the encryption process PID
    * write the private key so that the original malware's process can decrypt the files (using the Decrypt button)
    * code refactoring and cmake usage
    This software allows to recover the prime numbers of the RSA private key that are used by Wanacry.

    It does so by searching for them in the wcry.exe process. This is the process that generates the RSA private key. The main issue is that the CryptDestroyKey and CryptReleaseContext does not erase the prime numbers from memory before freeing the associated memory.

    This is not really a mistake from the ransomware authors, as they properly use the Windows Crypto API. Indeed, for what I've tested, under Windows 10, CryptReleaseContext does cleanup the memory (and so this recovery technique won't work). It can work under Windows XP because, in this version, CryptReleaseContext does not do the cleanup. Moreover, MSDN states this, for this function : "After this function is called, the released CSP handle is no longer valid. This function does not destroy key containers or key pairs.". So, it seems that there are no clean and cross-platform ways under Windows to clean this memory.

    If you are lucky (that is the associated memory hasn't been reallocated and erased), these prime numbers might still be in memory.

    That's what this software tries to achieve.

    Это программное обеспечение позволяет восстанавливать простые числа секретного ключа RSA, которые используются Wanacry.

    Он делает это, ища их в процессе wcry.exe. Это процесс, который генерирует закрытый ключ RSA. Основная проблема заключается в том, что CryptDestroyKey и CryptReleaseContext не стирают простые числа из памяти, прежде чем освобождать связанную память.

    На самом деле это не ошибка авторов авторских прав, поскольку они правильно используют API Windows Crypto. Действительно, для того, что я тестировал, в Windows 10 CryptReleaseContext очищает память (и поэтому эта техника восстановления не будет работать). Он может работать под Windows XP, потому что в этой версии CryptReleaseContext не выполняет очистку. Более того, MSDN заявляет это для этой функции: «После вызова этой функции освобожденный дескриптор CSP больше не действителен. Эта функция не уничтожает ключевые контейнеры или пары ключей». Таким образом, кажется, что в Windows нет чистых и кросс-платформенных способов для очистки этой памяти.

    Если вам повезет (то есть связанная память не была перераспределена и стерта), эти простые числа могут быть все еще в памяти.

    https://github.com/aguinet/wannakey

    wzg6p6imlq6d.jpg


    Содержимое папки C:\test\decrypt

    12.10.2017 14:50 <DIR> .
    12.10.2017 14:50 <DIR> ..
    03.06.2017 03:38 138 560 vcomp140.dll
    03.06.2017 03:38 285 696 wannakey.exe
    03.06.2017 03:38 286 720 wannakey_omp.exe
    03.06.2017 03:38 237 568 winapi_check.exe
    4 файлов 948 544 байт
    2 папок 2 852 581 376 байт свободно

    C:\test\decrypt>wannakey.exe
    Gather list of processes...
    Warning: unable to open process 0: ¦рЁрьхЄЁ чрфрэ эхтхЁэю.

    Warning: unable to retrieve the full path of the process for PID 4: ¦ряЁюё ReadP
    rocessMemory шыш WriteProcessMemory сvы тvяюыэхэ Єюы№ъю ўрёЄшўэю.

    Current directory is 'C:\test\crypt'
    Using PID 3716 and working directory C:\test\crypt...
    Reading public key from C:\test\crypt\00000000.pky...
    blob_header:
    06 02 00 00 00 A4 00 00
    ====
    pub_key:
    52 53 41 31 00 08 00 00 01 00 01 00
    ====
    Keylen: 256
    N:
    2D 81 DB 19 F3 FA D9 0E 88 7C 43 02 9F 06 87 C0
    73 7A 4A 55 A1 1A 27 2C C1 82 43 5B 09 39 E9 C4
    C4 5C C3 08 73 C8 04 F8 99 75 78 E4 DA 7D 67 AE
    C5 58 4C 07 BA 2D 50 69 B6 CC 5E 32 FD 17 D3 CE
    CB 38 87 5C 4C E5 6B A9 E2 CA 33 B4 02 B2 E5 94
    36 B2 22 DD 7F 00 5B 5A 91 AD 9B 68 3E 4F B9 DE
    57 97 FB 22 44 A3 91 18 37 C6 64 2F C5 53 F1 E0
    57 36 16 F1 1E 98 E8 C1 A2 5E 88 F0 E0 FC DC A8
    2A C8 6A F5 D9 C0 51 3E D3 87 DE 3B A4 50 EC 19
    3D 18 F7 5C 6A 64 F8 72 F4 15 20 C3 AE 35 3F 29
    98 95 7A D4 23 56 05 D2 D1 1A DF 8F 42 0F 80 45
    6E 4A 2F 58 03 4D 3E 98 BB 7D 38 3C 18 E7 10 63
    3C C5 94 BE E7 C3 BA FD F1 EC E3 2D CC 5A 7C BD
    CD FB E2 28 A5 FD A0 B8 BD FF 59 25 2A DF 31 9D
    84 6E 1F 03 8A A4 C8 A2 F1 B4 E9 02 B0 66 8A 7F
    BA 0B 16 0E BD 88 58 2D 86 D7 92 A4 99 43 CC 9F
    ====
    Generating the private key in 'C:\test\crypt\00000000.dky'...
    Done! You can now decrypt your files with the "official" decryptor interface by
    clicking on the "Decrypt" button!


    C:\test\decrypt>

    Расшифровка файлов на Windows XP выполнена успешно.

    На Win 7x86 не получилось восстановить ключ.

    C:\test\decrypt>wannakey.exe
    Gather list of processes...
    Warning: unable to open process 0: ╧рЁрьхЄЁ чрфрэ эхтхЁэю.

    Current directory is 'C:\test\crypt'
    Using PID 2772 and working directory C:\test\crypt...
    Reading public key from C:\test\crypt\00000000.pky...
    blob_header:
    06 02 00 00 00 A4 00 00
    ====
    pub_key:
    52 53 41 31 00 08 00 00 01 00 01 00
    ====
    Keylen: 256
    N:
    C9 39 76 1E CC B9 86 8F B4 F4 D9 36 F3 B3 4F 9F
    79 24 02 48 0E 32 33 23 0A 10 92 8C ED 34 9B 11
    C2 8A 02 68 AF E5 4B 57 DF 67 3A D7 19 13 82 47
    EE 13 2C D7 5A 85 80 39 5E F5 25 92 1C 64 D4 DE
    5F E7 AF 47 EB FB C8 14 E0 01 F9 CA E3 16 36 A9
    94 9A 13 61 DD BF E3 41 02 7A 5C 64 81 D7 A7 79
    5D A9 E8 3B 9B 5D BC E0 91 A3 BE 87 7D DE EF 2C
    C6 07 C2 EC 5A E4 B5 D7 EC 3E D0 D7 BF 12 ED D9
    83 AF 6C 32 4E F5 A2 F3 8E C7 2B 69 2A 0E D6 9C
    D4 BD 7E 20 AA 6F DF A4 23 2E 32 0C 3D B5 6E 2D
    84 A9 6D 8F FB 31 9C AB 29 6E 29 77 8C 00 FE AD
    41 DB C3 E7 EB C7 21 0C 3E 4B 10 10 02 88 59 F2
    C2 AE 01 F8 2E 57 0C C9 1C A8 78 FA 11 D4 C2 F5
    EF 31 A1 52 9B F2 F4 F5 43 57 40 B6 70 42 35 27
    79 82 8E 16 45 AF F9 B7 4A F5 5F 9B 1F C5 2D 1C
    2B 5E 09 A7 99 70 2B E7 46 B9 88 A4 AE 68 20 BA
    ====
    Error: no prime that divides N was found!


    C:\test\decrypt>




Войдите или Зарегистрируйтесь чтобы комментировать.