CHKLST.RU

Teslacrypt. файлы зашифрованы с расширением .EZZ

отредактировано July 2016 Раздел: Шифровирусы шумной толпою
Поймали троян и все файлы зашифрованы в тип .EZZ. Универсальный ключ, выложенный здесь на сайте не помог. Нашёл файл RECOVERY_FILE.TXT, но он весом 230 байт и при вводе в Teslaviewer пишет, что файл повреждён...

Комментарии

  • Случилось в мае прошлого года. Файлы были сохранены. После этого винду переустановили и разбили на части жёсткий диск.
  • отредактировано December 2016 PM
    Здравствуйте,

    Универсальный ключ
    440A241DD80FCC5664E861989DB716E08CE627D8D40C7EA360AE855C727A49EE
    
    работает только с новыми версиями Teslacrypt: .xxx, .ttt., .micro, as original

    и поскольку информация о ключе не содержится в зашифрованных файлах для данного варианта Teslacrypt (.EZZ):
    Format of encrypted file (.ecc, ezz)
    ************************************
    offset size Description
    0x000 16 initialization vector for AES (random data)
    0x010 4 Size of original files
    <encrypted data>
    извлечь данные для вычисления ключа можно только из key.dat
    key.dat (752B) (.ecc, .ezz)
    Location of data file on disk: %appdata%\key.dat [752 bytes]
    ***************************
    offset size Description
    0x000 34 Bitcoin address
    0x064 32 PublicKey X coordinate
    0x084 128 RecoveryKey in hex; RecoveryKey = SharedSecret * PrivateKey
    0x148 64 64B of pseudorandom data (2nd buffer; used only for randomization of 1024B random buffer)
    0x18A 16 SYSTEMTIME
    0x19A 32 32B of pseudorandom data (1st buffer; this buffer is zeroed out when PrivateKey is generated)
    0x1DB 32 PrivateKey (32B of pseudorandom data (3rd buffer); this buffer is zeroed out when encryption is done and wallpaper is set)
    0x2E0 8 Time64
    0x2E8 4 DEADBEAF is set when ShadowCopy was deleted
    0x2EC 4 Set to 1 when PrivateKey was generated

    или из файла восстановления RECOVERY_KEY.TXT/RECOVERY_FILE.TXT
    RECOVERY_KEY.TXT/RECOVERY_FILE.TXT (232B) (.ecc, .ezz, .exx, .xyz)
    Location of recovery file: %mydocuments%\RECOVERY_KEY.TXT
    1st line> Bitcoin address
    2nd line> PublicKey X coordinate
    3rd line> RecoveryKey = SharedSecret * PrivateKey
    дайте ссылку на ваш файл RECOVERY_FILE.txt. (можно добавить на sendspace.com)

    или вышлите его в почту [email protected]
  • Здравствуйте, только что отправил вам на ящик.
  • отредактировано September 2016 PM
    получил.
    нет ли других копий этого файла? recovery_key.txt например? и вышлите в почту несколько зашифрованных файлов.
  • к сожалению ничего больше не смог найти. Компьютер принадлежит моей сестре и все операции были произведены без меня. Я отправил вам все файлы, которые смог найти.
  • Отправил на почту
  • отредактировано September 2016 PM
    да, получил все.

    судя по размеру, не хватает одного-двух последних байт в RECOVERY_FILE.txt для того чтобы на 100% можно было получить информацию для вычисления ключа. Если конечно именно последних, а не произвольных двух. Попытаюсь восстановить или вычислить два последних символа, если это возможно.
  • Буду очень благодарен!
  • отредактировано September 2016 PM
    шанс есть конечно,
    в том случае, если в RECOVERY_FILE.txt недостает именно двух последних символов, а не произвольных (в третьей строке).
    14hruvkBFKSfeu5kiAw3uLkghfWQGRkkYb
    654F44E105557C05F59B9089DBD2C75840954BE22AB6B7D79DEAF21638C6ED75
    519C7A950B1D4AFC71B411A161DD945C55DEB1A1E16D1594F2746EBB950351959007BA03CDBC6441B46109D96BD1B543E6D363BAE674B9CB134A4C1BC4E03D
    
    Если есть зависимость между Bitcoin address, PublicKeyBC и SharedSecret1*PrivateKeyBC, можно будет восстановить значение SharedSecret1*PrivateKeyBC, факторизовать его и по результату вычислить ключ. Если нет такой зависимости, придется использовать перебор с добавлением двух последних символов от 00 до FF, вычислять соответствующее десятичное значение SharedSecret1*PrivateKeyBC, затем факторизовать это значение, и проверять возможность получение ключа в TeslaRefactor. Число сочетаний( с повторением элементов: 00, 11, 22,... FF) из 16 по 2=(16+2-1)!/(2!*(16-1)!)=16*17/2=136. :)
    уточнение согласно комбинаторике:
    Теорема. Число всевозможных размещений с повторениями из n элементов по k равно n^k.
    т.е. всего вариантов будет 256.!
    Возможно, повезет на быстрых ключах. :)
    Без везения просчитать все эти варианты будет невозможно.

    (осталось 103 варианта).

    00,01,02,03,04,05,06,07,08,09,0A,0B,0C,0D,0E,0F;
    10,11,12,13,14,15,16,17,18,19,1A,1B,1C,1D,1E,1F;
    20,21,22,23,24,25,26,27,28,29,2A,2B,2C,2D,2E,2F;
    30,31,32,33,34,35,36,37,38,39,3A,3B,3C,3D,3E,3F;
    40,41,42,43,44,45,46,47,48,49,4A,4B,4C,4D,4E,4F;
    50,51,52,53,54,55,56,57,58,59,5A,5B,5C,5D,5E,5F;
    60,61,62,63,64,65,66,67,68,69,6A,6B,6C,6E,6D,6F;
    70,71,72,73,74,75,76,77,78,79,7A,7B,7C,7D,7E,7F;
    80,81,82,83,84,85,86,87,88,89,8A,8B,8C,8D,8E,8F;
    90,91,92,93,94,95,96,97,98,99,9A,9B,9C,9D,9E,9F;
    A0,A1,A2,A3,A4,A5,A6,A7,A8,A9,AA,AB,AC,AD,AE,AF;
    B0,B1,B2,B3,B4,B5,B6,B7,B8,B9,BA,BB,BC,BD,BE,BF;
    C0,C1,C2,C3,C4,C5,C6,C7,C8,C9,CA,CB,CC,CD,CE,CF;
    D0,D1,D2,D3,D4,D5,D6,D7,D8,D9,DA,DB,DC,DD,DE,DF;
    E0,E1,E2,E3,E4,E5,E6,E7,E8,E9,EA,EB,EC,ED,EE,EF;
    F0,F1,F2,F3,F4,F5,F6,F7,F8,F9,FA,FB,FC,FD,FE,FF;

  • отредактировано August 2016 PM
    }{м,
    не зря мне вчера в автобусе выпал счастливый билет (885558), сегодня я расшифровал Ваш архив с файлами. подробности будут в почте.
  • :D Нас это очень радует!!! Отправил ещё несколько фотографий.
  • отредактировано August 2016 PM
    Хорошо, все расшифровано. :). Ключ и инструкцию ждите в почте.

    EZZ.JPG 78.8K
Дискуссия закрыта.