Счастливые владельцы зашифрованных файлов могут получить обратно свои ключи/файлы....

safety · октября 2018

The ESET GandCrab decryption tool is designed to decrypt files of 979 Syrian victims irrespective of the malware version they were affected with (1.0 to 5.0). Users can download the decryptor here. For further instructions and information, please refer to our GandCrab decryptor knowledgebase article.

This is not the first time malware authors have released keys for a prevalent ransomware family (or its variants), allowing cybersecurity companies to create decryptors. Previously, ESET has released such tools for TeslaCrypt, several variants of Crysis, as well as for earlier variants of the AESNI ransomware.

Средство дешифрования ESET GandCrab предназначено для дешифрования файлов из 979 сирийских жертв независимо от версии вредоносного ПО, на которую они были затронуты (от 1.0 до 5.0). Здесь можно скачать дешифратор. Для получения дополнительных инструкций и информации обратитесь к нашей статье базы знаний дешифратора GandCrab.

Это не первый раз, когда авторы вредоносных программ выпустили ключи для распространенного семейства ransomware (или его вариантов), что позволяет компаниям кибербезопасности создавать дешифраторы. Ранее ESET выпустила такие инструменты для TeslaCrypt, несколько вариантов Crysis, а также для более ранних версий AESNI ransomware.

https://www.welivesecurity.com/2018/10/25/eset-releases-new-decryptor-syrian-victims-gandcrab-ransomware/

https://twitter.com/jiriatvirlab/status/1055393385283026945

safety · октября 2018

Bitdefender releases new decryption tool to unlock #GandCrab, including latest v5.

https://twitter.com/BitdefenderLabs/status/1055369916344385536

A newly released decryptor allows for the free recovery of files encrypted by some versions of GandCrab, a ransomware family that has affected hundreds of thousands of people since the beginning of the year.

The free GandCrab decryption tool will decrypt files encrypted by versions 1, 4 and 5 of the ransomware. These versions are recognizable by the extensions they use: GDCB, KRAB, and a series of random characters of various length (example: .rnsgl). Instructions on using the decryptor are available later in the article.

Недавно выпущенный дешифратор позволяет бесплатно восстанавливать файлы, зашифрованные некоторыми версиями GandCrab, семейства ransomware, которые затронули сотни тысяч людей с начала года.

Бесплатный инструмент дешифрования GandCrab расшифровывает файлы, зашифрованные версиями 1, 4 и 5. Эти версии распознаются расширениями, которые они используют: GDCB, KRAB и ряд случайных символов различной длины (пример: .rnsgl). Инструкции по использованию дешифратора доступны позже в статье.

In a blog post today, Bitdefender notes that they are working on a solution to decrypt data locked by GandCrab 2 and 3, which use the .CRAB extension and ask users to be patient and not to pay the ransom. The ransom note typically asks victims between $600 and $6.000 in exchange for the decryption key.

Сегодня в блоге Bitdefender отмечает, что они работают над решением для дешифрования данных, заблокированных GandCrab 2 и 3, которые используют расширение .CRAB и просят пользователей быть терпеливыми, а не платить выкуп. В примечании о выкупе обычно запрашиваются жертвы между 600 и 6000 долларов в обмен на ключ дешифрования.

https://www.bleepingcomputer.com/news/security/free-decrypter-available-for-the-latest-gandcrab-ransomware-versions/

The good news is that now you can have your data back without paying a cent to the cyber-criminals, as Bitdefender has released a free utility that automates the data decryption process. This tool recovers files encrypted by GandCrab ransomware versions 1, 4 and 5. You can recognize this ransomware and its version, by the extension it appends to the encrypted files and/or ransom-note:

Хорошей новостью является то, что теперь вы можете вернуть свои данные, не выплачивая центов кибер-преступникам, так как Bitdefender выпустил бесплатную утилиту, которая автоматизирует процесс дешифрования данных. Этот инструмент восстанавливает файлы, зашифрованные версиями 1, 4 и 5. Ransomware GandCrab. Вы можете распознать это программное обеспечение и его версию с помощью расширения, которое оно добавляет к зашифрованным файлам и / или записку о выкупе:

Version 1: file extension is .GDCB. The ransom note starts with —= GANDCRAB =—, ……………. the extension: .GDCB
Version 2: file extension is .GDCB. The ransom note starts with —= GANDCRAB =—, ……………. the extension: .GDCB
Version 3: file extension is .CRAB. The ransom note starts with —= GANDCRAB V3 =— ……….. the extension: .CRAB
Version 4: file extension is .KRAB. The ransom note starts with —= GANDCRAB V4 =— ……….. the extension: .KRAB
Version 5: file extension is .([A-Z]+). The ransom note starts with —= GANDCRAB V5.0 =— ………. the extension: .UKCZA
Version 5.0.1: file extension is .([A-Z]+). The ransom note starts with —= GANDCRAB V5.0.2 =— …. the extension: .YIAQDG
Version 5.0.2: file extension is .([A-Z]+). The ransom note starts with—= GANDCRAB V5.0.2 =— …. the extension: .CQXGPMKNR
Version 5.0.3: file extension is .([A-Z]+). The ransom note starts with—= GANDCRAB V5.0.2 =— …. the extension: .HHFEHIOL

https://labs.bitdefender.com/2018/10/gandcrab-ransomware-decryption-tool-available-for-free/

safety · декабря 2018

Майк Гиллеспи разработал дешифратор для нескольких версий STOP Ransomware

Here's a free decrypter for some variants of STOP #Ransomware. Only works for extensions ".puma", ".pumas", and ".pumax". Requires encrypted and original file pair > ~150KB.

https://twitter.com/demonslay335/status/1068517307650064384

safety · декабря 2018

If you have been infected with a HiddenTear Ransomware variant, then you are in luck as a program called HT Brute Forcer has been created by Michael Gillespie that allows you recover your encryption key without having to pay the ransom.

HiddenTear is the name of a ransomware family whose full source code was published on GitHub. This allowed attackers to download the source code and create their own ransomware variants that could be used to infect victims.

Due to the source code's wide availability, there are many ransomware infections under different names that utilize the same HiddenTear code base. As the original code was decryptable, this means all other ransomware created from the same code are decryptable as well.

Some of the HiddenTear variants supported by this tool include:

8lock8, AnonCrack, Assembly, Balbaz, BankAccountSummary, Bansomqare Wanna, Blank, BloodJaws, Boris, CerberTear, CryptConsole2, CryptoKill, CyberResearcher, Data_Locker, Dev-Nightmare 2xx9, Diamond, Domino, Donut, dotRansom, Executioner, Executioner2, Executioner3, Explerer, FlatChestWare, Frog, Fuck_You, Gendarmerie, Horros, JobCrypter, Jodis, J-Ransomware, J-Want-To-Cry, Karmen, Kraken 2.0, Kratos, LanRan, Lime, Lime-HT, Luv, Matroska, MireWare, MoonCrypter, MTC, Nobug, Nulltica, onion3cry, OpsVenezuela, Paul, PayOrDie, Pedo, PGPSnippet, Poolezoor, Pransomware, Predator, Qwerty, Random6, Random6 2, Randion, RansomMine, Rootabx, Saramat, Shrug, ShutUpAndDance, Sorry, Symbiom, TearDr0p, Technicy, The Brotherhood, TheZone, tlar, TotalWipeOut, TQV, Ton, VideoBelle, WhiteRose, WhiteRose2, Zalupaid, ZenCrypt, Zenis, ZeroRansom, Zorro

Если вы были заражены вариантом HiddenTear Ransomware, то вам повезло, поскольку Michael Gillespie создал программу под названием HT Brute Forcer, которая позволяет вам восстановить свой ключ шифрования, не выплачивая выкуп.

HiddenTear - это имя семейства вымогателей, полный исходный код которого был опубликован на GitHub. Это позволило злоумышленникам загрузить исходный код и создать свои собственные варианты вымогателей, которые можно использовать для заражения жертв.

Из-за широкой доступности исходного кода, существует много вирусов-вымогателей под разными именами, которые используют одну и ту же базу кода HiddenTear. Поскольку исходный код был дешифруемым, это означает, что все другие программы-вымогатели, созданные из того же кода, также являются дешифруемыми.

https://www.bleepingcomputer.com/ransomware/decryptor/how-to-decrypt-hiddentear-ransomware-with-ht-brute-forcer/

safety · декабря 2018

+
BleepingComputer.com официально присоединился к проекту NoMoreRansom (NMR)

BleepingComputer is humbled and honored to announce that we have joined No More Ransom project as an associate partner! We have been providing ransomware information, support, and the amazing decryptors from Michael Gillespie since the beginning and this partnership will enable more victims to receive the help they need.

BleepingComputer с гордостью объявляет, что мы присоединились к проекту No More Ransom в качестве ассоциированного партнера! Мы предоставляем информацию о вымогателях, поддержку и удивительные расшифровщики от Майкла Джиллеспи с самого начала, и это партнерство позволит большему количеству жертв получить помощь, в которой они нуждаются.

How BleepingComputer first got started with ransomware

To give you a bit of a background on how BleepingComputer first got started writing about and supporting the victims of ransomware, it all goes back to 2012 when the first widespread ransomware called ACCDFISA was released.

Как BleepingComputer впервые начал работать с вымогателями

BleepingComputer впервые начал писать о жертвах вымогателей и как их поддерживать, все это восходит к 2012 году, когда был выпущен первый широко распространенный вымогатель под названием ACCDFISA.

Thankfully, Fabian Wosar of Emsisoft came along and was able to continue to assist victims in recovering their files

К счастью, Фабиан Восар из Emsisoft пришел и смог продолжать помогать жертвам в восстановлении их файлов.

Then in 2013, CryptoLocker came and it took the computer security world by storm as massive malspam campaigns started pushing the ransomware installer. It wasn't until I made the connection that Zbot was distributing CryptoLocker and wrote about did I realize how much the ransomware developers were paying attention to what we were writing about.

Затем, в 2013 году, появился CryptoLocker, и он покорил мир компьютерной безопасности, когда масштабные кампании по распространению вредоносного ПО начали подталкивать установщика вымогателей. Только когда я установил связь, Zbot распространял CryptoLocker и написал о ней, я понял, насколько разработчики вымогателей обращали внимание на то, о чем мы пишем.

As ransomware grew, BleepingComputer began publishing our weekly "Week in Ransomware" articles and started working with independent security researchers and those from security companies such as Emsisoft, Kaspersky, Intel, McAfee, ESET, Malwarebytes, Avast, GData, and many more in a common goal to help victims stay informed and receive help.

По мере роста вымогателей BleepingComputer начал публиковать наши еженедельные статьи «Неделя в вымогателях» и начал сотрудничать с независимыми исследователями в области безопасности, а также с такими компаниями, как Emsisoft, Kaspersky, Intel, McAfee, ESET, Malwarebytes, Avast, GData и многими другими. общая цель - помочь пострадавшим быть в курсе событий и получать помощь.

It wasn't until TeslaCrypt, though, that I saw the amazing community built at BleepingComputer really came together. Utilizing BloodDolly's tool TeslaDecoder, members of our community volunteered their time and CPU cycles in a 148 page forum topic devoted to factoring hundreds, if not thousands, of victim's decryption keys so that they could get their files back for free.

Однако с момента как появился TeslaCrypt, я увидел, что удивительное сообщество, созданное на BleepingComputer, действительно собралось вместе. Используя инструмент BloodDolly TeslaDecoder, члены нашего сообщества добровольно посвятили свое время и циклы ЦП теме форума на 148 страницах, посвященной факторизации сотен, если не тысяч, ключей шифрования жертвы, чтобы они могли получить свои файлы обратно бесплатно.

Ransomware developers also started to come to BleepingComputer to release their master decryption keys when they abandoned their ransomware or switched to a new variant. The release of these keys have enabled the creation of numerous decryptors for Crysis, AES-NI, XData, DXXD, Dharma, and more.

Разработчики Ransomware также начали приходить к BleepingComputer, чтобы выпустить свои главные ключи дешифрования, когда они отказались от своего вымогателя или переключились на новый вариант. Выпуск этих ключей позволил создать множество расшифровщиков для Crysis, AES-NI, XData, DXXD, Dharma и многих других.

While ransomware has slowly switched from malspam campaigns to more directed attacks, this type of infection is still a major problems for its victims.

With that said, we will continue to help ransomware victims in need and look forward to working with No More Ransom and its partners until this threat no longer exists!

В то время как вымогатели постепенно переключались с кампаний по рассылке спама на более направленные атаки, этот тип инфекции по-прежнему является серьезной проблемой для его жертв.

С учетом сказанного мы будем продолжать помогать жертвам вымогателей и с нетерпением ждем возможности работать с No More Ransom и его партнерами, пока эта угроза не исчезнет!

https://www.bleepingcomputer.com/announcement/bleepingcomputer/bleepingcomputercom-is-now-a-partner-with-no-more-ransom/

safety · января 2019

Updated the decrypter for STOP Djvu #Ransomware ONLY FOR OFFLINE ID "D02NfEP94dKUO3faH1jwqqo5f9uqRw2Etn2lP3VB" | https://www.bleepingcomputer.com/forums/t/671473/stop-ransomware-stop-suspended-yourdatarestore-txt-support-topic/page-31#entry4673086 …

https://twitter.com/demonslay335/status/1087425250395082752

p.s. работает дешифратор для STOP/rumba в случае офлайн-шифрования.

Selected directory: G:\DATA\shifr\encode_files\STOP\rumba\80my_test\_files\uvs_doc
Starting decryption...

[+] File: G:\DATA\shifr\encode_files\STOP\rumba\80my_test\_files\uvs_doc\AHCI.txt.rumba
[+] Decrypted: G:\DATA\shifr\encode_files\STOP\rumba\80my_test\_files\uvs_doc\AHCI.txt
.......
Decrypted 14 files!

safety · февраля 2019

+
Bitdefender #decryption tool now also supports #GandCrab versions 5.04 - 5.1 https://labs.bitdefender.com/2019/02/new-gandcrab-v5-1-decryptor-available-now/
…

https://twitter.com/struppigel/status/1097808078781771776

Today we’re happy to announce that our collaboration with the Romanian Police, Europol and other law enforcement agencies has yielded another new decryptor for all GandCrab ransomware versions released since October 2018.

If you need to decrypt versions 1, 4 and up through 5.1, then download and run our brand new tool:

Сегодня мы рады сообщить, что наше сотрудничество с румынской полицией, Европолом и другими правоохранительными органами привело к появлению еще одного нового расшифровщика для всех версий GandCrab Ransomware, выпущенных с октября 2018 года.

Если вам нужно расшифровать версии 1, 4 и выше до 5.1, загрузите и запустите наш новый инструмент:

https://labs.bitdefender.com/2019/02/new-gandcrab-v5-1-decryptor-available-now/
https://labs.bitdefender.com/2018/10/gandcrab-ransomware-decryption-tool-available-for-free/

примеры дешифровки:
5.03:

---= GANDCRAB V5.0.3 =---

***********************UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED***********************

*****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE WILL BE DECRYPTION ERRORS*****

Attention!

All your files, documents, photos, databases and other important files are encrypted and have the extension: .MVKDAYY

https://app.any.run/tasks/3a318c39-36d4-45e2-9477-009570b964ab

Decryptor Started at Tue Feb 19 20:24:27 2019

Looking for ransom note ... [G:\DATA\shifr\encode_files\GandCrab\5.03\10\encode\MVKDAYY-DECRYPT.txt]
Looking for VERSION ... [V5]
Looking for EXT ... [.mvkdayy]
Looking for ID ... [OK]
Looking for decryption KEY ... [OK]

Decrypt Files ...

Decrypt [ 8] [G:\DATA\shifr\encode_files\GandCrab\5.03\10\filezilla.xml.mvkdayy] ... [OK]
Decrypt [ 9] [G:\DATA\shifr\encode_files\GandCrab\5.03\10\layout.xml.mvkdayy] ... [OK]
Decrypt [ 10] [G:\DATA\shifr\encode_files\GandCrab\5.03\10\NoMail.xml.mvkdayy] ... [OK]
Decrypt [ 11] [G:\DATA\shifr\encode_files\GandCrab\5.03\10\pkcs11.txt.mvkdayy] ... [OK]
Decrypt [ 12] [G:\DATA\shifr\encode_files\GandCrab\5.03\10\revocations.txt.mvkdayy] ... [OK]
Decrypt [ 13] [G:\DATA\shifr\encode_files\GandCrab\5.03\10\SiteSecurityServiceState.txt.mvkdayy] ... [OK]
Decrypt [ 14] [G:\DATA\shifr\encode_files\GandCrab\5.03\10\sonar_policy.xml.mvkdayy] ... [OK]
Decrypt [ 15] [G:\DATA\shifr\encode_files\GandCrab\5.03\10\test.xml.mvkdayy] ... [OK]

Total decrypted files: [16]

Scan finished!

Total decrypted files: [16]

Scan finished!

5.04

---= GANDCRAB V5.0.4 =---

***********************UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED***********************

*****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS*****

Attention!

All your files, documents, photos, databases and other important files are encrypted and have the extension: .WZRDMCGL

https://app.any.run/tasks/fe7d7c84-8a88-4007-9f26-d1bc2c47f45b

Decryptor Started at Tue Feb 19 20:19:07 2019

Looking for ransom note ... [G:\DATA\shifr\encode_files\GandCrab\5.04\10\WZRDMCGL-DECRYPT.txt]
Looking for VERSION ... [V5]
Looking for EXT ... [.wzrdmcgl]
Looking for ID ... [OK]
Looking for decryption KEY ... [OK]

Decrypt Files ...

Decrypt [ 0] [G:\DATA\shifr\encode_files\GandCrab\5.04\10\Black board.xml.wzrdmcgl] ... [OK]
Decrypt [ 1] [G:\DATA\shifr\encode_files\GandCrab\5.04\10\filezilla.xml.wzrdmcgl] ... [OK]
Decrypt [ 2] [G:\DATA\shifr\encode_files\GandCrab\5.04\10\layout.xml.wzrdmcgl] ... [OK]
Decrypt [ 3] [G:\DATA\shifr\encode_files\GandCrab\5.04\10\NoMail.xml.wzrdmcgl] ... [OK]
Decrypt [ 4] [G:\DATA\shifr\encode_files\GandCrab\5.04\10\Outlook.xml.wzrdmcgl] ... [OK]
Decrypt [ 5] [G:\DATA\shifr\encode_files\GandCrab\5.04\10\queue.sqlite3.wzrdmcgl] ... [OK]
Decrypt [ 6] [G:\DATA\shifr\encode_files\GandCrab\5.04\10\sonar_policy.xml.wzrdmcgl] ... [OK]
Decrypt [ 7] [G:\DATA\shifr\encode_files\GandCrab\5.04\10\times.json.wzrdmcgl] ... [OK]

Total decrypted files: [8]

Scan finished!

5.1

---= GANDCRAB V5.1 =---

***********************UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED***********************

*****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS*****

Attention!

All your files, documents, photos, databases and other important files are encrypted and have the extension: .MKPZNULUVY

https://app.any.run/tasks/06c954e0-57ce-45d6-9db8-35f925383194

Decryptor Started at Tue Feb 19 20:37:33 2019

Looking for ransom note ... [G:\DATA\shifr\encode_files\GandCrab\5.1\20\MKPZNULUVY-DECRYPT.txt]
Looking for VERSION ... [V5]
Looking for EXT ... [.mkpznuluvy]
Looking for ID ... [OK]
Looking for decryption KEY ... [OK]

Decrypt Files ...

Decrypt [ 0] [G:\DATA\shifr\encode_files\GandCrab\5.1\20\000017.log.mkpznuluvy] ... [OK]
Decrypt [ 1] [G:\DATA\shifr\encode_files\GandCrab\5.1\20\ContentStore.xml.mkpznuluvy] ... [OK]
Decrypt [ 2] [G:\DATA\shifr\encode_files\GandCrab\5.1\20\filezilla.xml.mkpznuluvy] ... [OK]
Decrypt [ 3] [G:\DATA\shifr\encode_files\GandCrab\5.1\20\layout.xml.mkpznuluvy] ... [OK]
Decrypt [ 4] [G:\DATA\shifr\encode_files\GandCrab\5.1\20\Outlook.xml.mkpznuluvy] ... [OK]
Decrypt [ 5] [G:\DATA\shifr\encode_files\GandCrab\5.1\20\queue.sqlite3.mkpznuluvy] ... [OK]
Decrypt [ 6] [G:\DATA\shifr\encode_files\GandCrab\5.1\20\sonar_policy.xml.mkpznuluvy] ... [OK]
Decrypt [ 7] [G:\DATA\shifr\encode_files\GandCrab\5.1\20\tracking.log.mkpznuluvy] ... [OK]

Total decrypted files: [8]

Scan finished!

Total decrypted files: [8]

Scan finished!

safety · февраля 2019

GandCrab Decrypter Available for v5.1, New Variant Already Out

A free file decryption tool is available for users whose computers got infected with the latest confirmed versions of GandCrab. It can unlock data encrypted by versions 4 through 5.1 of the malware, and some earlier releases of the threat.

Для пользователей, чьи компьютеры были заражены последними подтвержденными версиями GandCrab, доступен бесплатный инструмент для расшифровки файлов. Он может разблокировать данные, зашифрованные версиями вредоносного ПО с версий 4 по 5.1, и некоторыми более ранними выпусками угрозы.

http://download.bitdefender.com/am/malware_removal/BDGandCrabDecryptTool.exe

https://www.bleepingcomputer.com/news/security/gandcrab-decrypter-available-for-v51-new-variant-already-out/

Here comes the moment everybody has been waiting for. We have just released a new decryptor that solves for versions 1, 4, and 5.0.1 through 5.1. Download the tool and get your data back.

https://twitter.com/bbotezatu/status/1097784274772733952

+
примеры расшифровки:
5.02

---= GANDCRAB V5.0.2 =---

Attention!

All your files, documents, photos, databases and other important files are encrypted and have the extension: .WRVOQVIPR

https://app.any.run/tasks/cbbf63ef-347f-4320-aebf-58aa240a2d2a

ecryptor Started at Tue Feb 19 22:08:03 2019

Looking for ransom note ... [G:\DATA\shifr\encode_files\GandCrab\5.02\10\WRVOQVIPR-DECRYPT.txt]
Looking for VERSION ... [V5]
Looking for EXT ... [.wrvoqvipr]
Looking for ID ... [OK]
Looking for decryption KEY ... [OK]

Decrypt Files ...

Decrypt [ 0] [G:\DATA\shifr\encode_files\GandCrab\5.02\10\filezilla.xml.wrvoqvipr] ... [OK]
Decrypt [ 1] [G:\DATA\shifr\encode_files\GandCrab\5.02\10\layout.xml.wrvoqvipr] ... [OK]
Decrypt [ 2] [G:\DATA\shifr\encode_files\GandCrab\5.02\10\NoMail.xml.wrvoqvipr] ... [OK]
Decrypt [ 3] [G:\DATA\shifr\encode_files\GandCrab\5.02\10\Outlook.xml.wrvoqvipr] ... [OK]
Decrypt [ 4] [G:\DATA\shifr\encode_files\GandCrab\5.02\10\queue.sqlite3.wrvoqvipr] ... [OK]
Decrypt [ 5] [G:\DATA\shifr\encode_files\GandCrab\5.02\10\sonar_policy.xml.wrvoqvipr] ... [OK]

Total decrypted files: [6]

Scan finished!

5.0

---= GANDCRAB V5.0 =---

Attention!

All your files, documents, photos, databases and other important files are encrypted and have the extension: .YQOAP

https://app.any.run/tasks/a0456fee-bf41-4b9f-9754-2416ccc32e01

Decryptor Started at Tue Feb 19 22:15:38 2019

Looking for ransom note ... [G:\DATA\shifr\encode_files\GandCrab\5.0\10\YQOAP-DECRYPT.txt]
Looking for VERSION ... [V5]
Looking for EXT ... [.yqoap]
Looking for ID ... [OK]
Looking for decryption KEY ... [OK]

Decrypt Files ...

Decrypt [ 0] [G:\DATA\shifr\encode_files\GandCrab\5.0\10\filezilla.xml.yqoap] ... [OK]
Decrypt [ 1] [G:\DATA\shifr\encode_files\GandCrab\5.0\10\layout.xml.yqoap] ... [OK]
Decrypt [ 2] [G:\DATA\shifr\encode_files\GandCrab\5.0\10\NoMail.xml.yqoap] ... [OK]
Decrypt [ 3] [G:\DATA\shifr\encode_files\GandCrab\5.0\10\Outlook.xml.yqoap] ... [OK]
Decrypt [ 4] [G:\DATA\shifr\encode_files\GandCrab\5.0\10\sonar_policy.xml.yqoap] ... [OK]

Total decrypted files: [5]

Scan finished!

Total decrypted files: [5]

Scan finished!

---= GANDCRAB V4 =---

Attention!

All your files, documents, photos, databases and other important files are encrypted and have the extension: .KRAB

https://app.any.run/tasks/2eb04895-8649-45be-8bd1-39a5b4285ff8

Decryptor Started at Tue Feb 19 22:26:06 2019

Looking for ransom note ... [G:\DATA\shifr\encode_files\GandCrab\v4\10\KRAB-DECRYPT.txt]
Looking for VERSION ... [V4]
Looking for EXT ... [.krab]
Looking for ID ... [OK]
Looking for decryption KEY ... [OK]

Decrypt Files ...

Decrypt [ 0] [G:\DATA\shifr\encode_files\GandCrab\v4\10\filezilla.xml.KRAB] ... [OK]
Decrypt [ 1] [G:\DATA\shifr\encode_files\GandCrab\v4\10\layout.xml.KRAB] ... [OK]
Decrypt [ 2] [G:\DATA\shifr\encode_files\GandCrab\v4\10\Outlook.xml.KRAB] ... [OK]
Decrypt [ 3] [G:\DATA\shifr\encode_files\GandCrab\v4\10\prefs.js.KRAB] ... [OK]
Decrypt [ 4] [G:\DATA\shifr\encode_files\GandCrab\v4\10\recentservers.xml.KRAB] ... [OK]
Decrypt [ 5] [G:\DATA\shifr\encode_files\GandCrab\v4\10\sonar_policy.xml.KRAB] ... [OK]

Total decrypted files: [6]

Scan finished!

Total decrypted files: [6]

Scan finished!

для актуальной версии GandCrab 5.2 текущее решение не работает.
(возможно, это вопрос времени.)

---= GANDCRAB V5.2 =---

***********************UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED***********************

*****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS*****

Attention!

All your files, documents, photos, databases and other important files are encrypted and have the extension: .GSTDMCUTBY

Decryptor Started at Wed Feb 20 14:39:43 2019

Looking for ransom note ... [G:\DATA\shifr\encode_files\GandCrab\5.2\10\GSTDMCUTBY-DECRYPT.txt]
Looking for VERSION ... [V5]
Looking for EXT ... [.gstdmcutby]
Looking for ID ... [OK]
Looking for decryption KEY ... [FAIL:KEY]
[ERR:Init]

Total decrypted files: [0]

safety · марта 2019

+
Added some new OFFLINE keys to decrypter for #STOP #DJVU #Ransomware for OFFLINE IDs "cZs3TaUYZzXCH1vdE44HNr1gnD2LtTIiSFFYv5t1" (.promoz, .promok, and .promorad), and "TLuCxxAdd5BLXYWIvnjsWaCNR5lWoznhlRTSott1" (.promok). | https://www.bleepingcomputer.com/forums/t/671473/stop-ransomware-tro-djvu-rumba-openmetxt-support-topic/#entry4732583 …

https://twitter.com/demonslay335/status/1103820287039152129

Update 03/07/19:
STOPDecrypter has been updated to include support for the promoz, .promock, .promorad variants if you were hit by the OFFLINE KEY -

"cZs3TaUYZzXCH1vdE44HNr1gnD2LtTIiSFFYv5t1"

- and support for the .promok variant if you were hit by the OFFLINE KEY -

"TLuCxxAdd5BLXYWIvnjsWaCNR5lWoznhlRTSott1"

- as explained in Post #1200. As of now there are four OFFLINE KEYs (hard-coded keys) embedded in the decrypter tool.

Update 03/11/19:
STOPDecrypter has been updated to include support for the .promorad2 variant if you were hit by the OFFLINE KEY -

"0h7mFQcjRC3pDgsRcrWZ7K7bdAgvgDosJ24DmXt1"

as explained in Post #1251. As of now there are five OFFLINE KEYs (hard-coded keys) embedded in the decrypter tool.

https://twitter.com/demonslay335/status/1105529634022744065

+
Update 03/13/19:
STOPDecrypter has been updated to include support for the .kroput variant if you were hit by the OFFLINE KEY -

"upOacGl1yOz9XbrhjX9UR2M0j8i03YwVB0pXr1t1"

as explained in Post #1305. As of now there are six OFFLINE KEYs (hard-coded keys) embedded in the decrypter tool.

https://twitter.com/demonslay335/status/1105885609871265793

https://www.bleepingcomputer.com/forums/t/671473/stop-ransomware-tro-djvu-rumba-openmetxt-support-topic/

safety · марта 2019

подробнее о STOP Ransomware:

➤ Специалисты Dr.Web расшифровали в частном порядке файлы, зашифрованные некоторыми вариантами этого Ransomware. Публичного дешифровщика от Dr.Web нет.
➤ Специалист по шифровальщикам Майкл Джиллеспи (США) сумел создать свой дешифратор для некоторых версий и вариантов STOP (puma, djvu, pdff, tro, tfude, rumba и прочих), когда шифровальщик использует для шифрования оффлайн-ключ.

https://id-ransomware.blogspot.com/2017/12/stop-ransomware.html
+
еще детальные ответы от разработчика дешифратора:

Вопрос №12: Что такое OFFLINE-ключ и как мне получить его?
Краткий ответ: OFFLINE-ключ - это жестко закодированный ключ.
Подробный ответ: Когда шифровальщик запустится, у него есть определенный сервер, с которым он пытается установить связь (у каждого варианта есть свой сервер или другой путь, который он запрашивает). Этот "онлайн-ключ" уникален для каждой жертвы и пока нет способа воспроизвести этот ключ. Если шифровальщик не может связаться с сервером, например, из-за проблем с сетью, или время ответа сервера истекло, или произошла ошибка, то шифровальщик после нескольких попыток (обычно, 4-х) прибегнет к жестко закодированному ключу - этот OFFLINE-ключ...

https://decryptors.blogspot.com/2019/01/stop-djvu-decryption-add-data.html

FAQ от разработчика дешифратора.

safety · марта 2019

+
Updated #STOP #Ransomware decrypter (v 2.0.1.13) with a bunch of OFFLINE IDs/keys for extensions .kroput1, .charck, .kropun, .doples, .luces, .luceq, .chech, .pulsar1, and .proden.

https://twitter.com/demonslay335/status/1110200268594077696

Update 03/25/19:
STOPDecrypter has been updated to include support for the following variants if hit by the applicable OFFLINE KEY as explained in Post #1482.
.kroput1 OFFLINE ID - "upOacGl1yOz9XbrhjX9UR2M0j8i03YwVB0pXr1t1"
.charck OFFLINE ID - "neFMH56G5TY6gLqHS6TpWwfIPJF1mKg4FvpeNPt1"
.kropun OFFLINE ID - "0h7mFQcjRC3pDgsRcrWZ7K7bdAgvgDos224DmXt1"
.doples, .luces, .luceq, .chech OFFLINE ID - "rdSXuFaXQZ5zsBX7nzxYC2hgkTkducsD7tuV95t1"
.pulsar1 OFFLINE ID - "AlMcLobh5J6wVB2Iy10guKr1kpSuFBWfXIsI6Et1"
.proden OFFLINE ID - "abIsuTknpjAqoGRR7OZL5HDDmc843XjBxrQOIot1"quote]

safety · марта 2019

+
Updated #STOP #Djvu #Ransomware decrypter to version 2.0.2.2 with 2 new OFFLINE IDs for extensions .drume, .tronas, .trosak, and .grovas - https://www.bleepingcomputer.com/forums/t/671473/stop-ransomware-stop-puma-djvu-promo-drume-support-topic/?p=4751758 …

https://twitter.com/demonslay335/status/1111337071917129729

Update 03/28/19:
STOPDecrypter has been updated to include support to include support for the following variants if hit by the applicable OFFLINE KEY as explained in Post #1580.
.drume, .tronas, .trosak - "dLoJuwk26P2wogGWZREN7JEyvljcvICqcYfwIft1"
.grovas - "sC0oYeg1wSkjbjkEwQcxTXzA0EOp8Tnc35seYQt1"

+

Update (to version 2.0.2.3) 04/09/19:
STOPDecrypter updated to include support with 2 new OFFLINE keys for the following variants as explained in Post #1759.
.grovat, .raldug - "vElBnRCjG17HPbVSb8mw2WKW8uIBUDp5gbuiZat1"
.roland - "R11Dxz37SHHVuv5otlFtzJiXUIPwPzmP6gV8gmv9"

+

Updated (to version 2.1.0.1 04/28/19) decrypter for #STOP #Djvu #Ransomware, added OFFLINE IDs for (big breath): .etols, .guvara, .norvas, .moresa, .verasto, and .hrosas -

+

Updated STOPDecrypter (v2.1.0.2 05/01/19) with more offline keys for .kiratos, .todarius , and a small tweak to the display of MACs to make it easier for me to archive them.

+

.Updated #STOP #Djvu #Ransomware (v2.1.0.3 05/07/19) decrypter with OFFLINE keys for .roldat, .dutan, .sarut, .berost, and .forasom |

все известные OFFLINE ключи на текущий момент:

1. 6se9RaIxXF9m70zWmx7nL3bVRp691w4SNY8UCir0 - .djvu* variants, .promos
2. D02NfEP94dKUO3faH1jwqqo5f9uqRw2Etn2lP3VBb - .rumba
3. cZs3TaUYZzXCH1vdE44HNr1gnD2LtTIiSFFYv5t1 - .promoz, .promock, .promorad
4. TLuCxxAdd5BLXYWIvnjsWaCNR5lWoznhlRTSott1 - .promok
5. 0h7mFQcjRC3pDgsRcrWZ7K7bdAgvgDosJ24DmXt1 - .promorad2
6. upOacGl1yOz9XbrhjX9UR2M0j8i03YwVB0pXr1t1 - .kroput1
7. neFMH56G5TY6gLqHS6TpWwfIPJF1mKg4FvpeNPt1 - .charck
8. 0h7mFQcjRC3pDgsRcrWZ7K7bdAgvgDos224DmXt1 - .kropun
9. rdSXuFaXQZ5zsBX7nzxYC2hgkTkducsD7tuV95t1 - .doples, .luces, .luceq, .chech
10. AlMcLobh5J6wVB2Iy10guKr1kpSuFBWfXIsI6Et1 - .pulsar1
11. abIsuTknpjAqoGRR7OZL5HDDmc843XjBxrQOIot1 - .proden
12. dLoJuwk26P2wogGWZREN7JEyvljcvICqcYfwIft1 - .drume, .tronas, .trosak
13. sC0oYeg1wSkjbjkEwQcxTXzA0EOp8Tnc35seYQt1 - .grovas
14. vElBnRCjG17HPbVSb8mw2WKW8uIBUDp5gbuiZat1 - .grovat, .raldug
15. R11Dxz37SHHVuv5otlFtzJiXUIPwPzmP6gV8gmv9 - .roland
16. r77yXePcnmrctJPWrZCcbJgUlAtOa1FC9Na710t1 - .etols, .guvara
17. 1OcNMvbG9a2vBz0BdsXRX88kjuVX9ku4EmR64St1 - .norvas
18. PBADSc0wL8KOzd5eGIaVThjIPeGxRqrsQgvU3qt - .moresa
19. fCuKTg0kzQEXr1ewwlkMM3sl8ZzT1uEg7811p2t1 - .verasto
20. qn2YpOJW8NoI4X3pchKLemMVHE6hbUPemTQPlMt1 - .hrosas
21. e4Z7Ued2uSyQfbA7vS8VKtF2dGKGH8qEQ4E1Uht1 - .kiratos
22. 54SYshdMLwmLmgvVGWUrb336u3jYwOthqtuie5t1 - .todarius
23. SFOGVV9L1s8tgZVtOy4lff6n3MEgUwud5fQUdHt1 - .roldat
24. zC2lfjIocaJoC8hWBB1yhTK2ecfIMchQ47Dkylt1 - .dutan
25. pQseAIqgTVhPujMMiqH1ILPNUg3soGVim0NAnkt1 - .sarut
26. nBxtbGaG4zYZQuwkRqP7d0zTIAyt6ZTtAqWL77t1 - .berost
27. jWOnMXbnka33AZT1RlCj0QSRbhhZHNASDvqHrDt1 - .forasom

safety · мая 2019

+
New release (v 2.1.0.4 from 17/05/2019) of decrypter for #STOP #Djvu #Ransomware with more OFFLINE IDs for .shadow, .fordan, .codnat, and .dotmap

Changelog:

## [2.1.0.4]
+ Internal changes
+ Added offline key for .shadow, .fordan, .codnat, .dotmap

ID: 6se9RaIxXF9m70zWmx7nL3bVRp691w4SNY8UCir0 Ext: .shadow
ID: QP5YonPPBgUP0qNuS7DV82bMzke5YFYqXbRlobt1 Ext: .fordan
ID: PTWLJBvUTDlF6G52Fs8Fmm7egqpfWrghp1m2Bot1 Ext: .codnat
ID: BvxonHH8kgX9meHfJweaV5ONlpO6f7IRCff0XXt1 Ext: .dotmap

+
## [2.1.0.6]
+ Added offline key for .ferosas, .rectot

ID: mlKnUMskuvLAnwjqZpgNMoxWdYebTiuT9DMf4Vt1 - .ferosas
ID: t9hLELb8KHIC5gKnzv1k3CPJ5qpiqNZiyV5vhHt1 - .rectot

+ Added support for .INFOWAIT variant

## [2.1.0.5]
+ Internal bug fix

## [2.1.0.7]
+ Added offline key for .skymap, .mogera, .rezuc

Updated STOPDecrypter v2.1.0.7, added more offline keys.

ID: JjkJ9drSkbRY2LR4ZeDjOJxCYgt4zs6svaNadvt1 Ext: .skymap
ID: tgDlcFW2xFWyJx7JxqpZ8dNSOchUAMejoGdvf2t1 Ext: .mogera
ID: C1WKOJdn7siJOSKrKnoKRy5tH9aSxwMzpaUzgst1 Ext: .rezuc

+
Update STOPDecrypter v2.1.0.8 with more OFFLINE keys.
for extensions: .stone, .lanset, .davda, .poret, .pidon

OFFLINE ID: ljT0FEceXZLV8Gyhp3cCAcKbq8v85tmqMgqrVCt2 Ext: .stone
OFFLINE ID: faLqfTl9yJBMMKsPhAv8WKbIdsFgqRtco70kHSt1 Ext: .lanset
OFFLINE ID: 7wlgj03aBeU43xA1mJMBMvyvGs6wERcrV31xRrt1 Ext: .davda
OFFLINE ID: 61K3jGfHzi5nWYLCgt3ZT7zGffHm0DNV9TGbdit1 Ext: .poret
OFFLINE ID: bDDtqPBV1xkOfMNIpmkdcyeVXG71BNezzpQwsKt1 Ext: .pidon

+
## [2.1.0.9]

+ Added offline key for .heroset
+ Added automatic extraction of ID and MAC on run

+

Update to #STOP #Djvu #Ransomware decrypter, added OFFLINE keys for extensions .boston, .muslat, and .gerosan

## [2.1.0.10]
+ Added offline key for .boston, .muslat, .gerosan

Update to STOPDecrypter v2.1.0.11 with new OFFLINE key for .vesad.
OFFLINE ID: 3O3Zn4LeBG8kkWwS2nX61CWiHLZ46k1s632Cg9t1 Ext: .vesad

## [2.1.0.11]
+ Added offline key for .vesad

safety · июня 2019

Bitdefender выпустил обновление для BDGandCrabDecryptTool, которое позволяет расшифровать текущую версию GandCrab 5.2!

Fortunately, we have released an update to the tool that neutralizes the latest versions of GandCrab, including version 5.2. The tool is available immediately and can be downloaded for free below or from the No More Ransom Project.

мы выпустили обновление для инструмента, который нейтрализует последние версии GandCrab, включая версию 5.2. Инструмент доступен сразу и может быть загружен бесплатно ниже или из проекта No More Ransom.

https://labs.bitdefender.com/2019/06/good-riddance-gandcrab-were-still-fixing-the-mess-you-left-behind

Good riddance, GandCrab! We’re still fixing the mess you left behind! http://bit.ly/2XY4xGc - New GandCrab decryptor available for victims of version 5.2! #dontpayup #nomoreransom

https://twitter.com/BitdefenderLabs/status/1140531809656160262

Release of GandCrab 5.2 Decryptor Ends a Bad Ransomware Story

В сотрудничестве с правоохранительными органами по всему миру Bitdefender выпустил обновленный расшифровщик для GandCrab Ransomware, который может расшифровывать файлы, зашифрованные версиями 1, 4 и 5–5,2.

В объявлениях Bitdefender и Europol был выпущен расшифровщик GandCrab Ransomware, который расшифровывает последние версии Ransomware.

https://www.bleepingcomputer.com/news/security/release-of-gandcrab-52-decryptor-ends-a-bad-ransomware-story/

Decryptor Started at Mon Jun 17 18:29:08 2019

Looking for ransom note ... [G:/DATA/shifr/encode_files/GandCrab/5.2/10\GSTDMCUTBY-DECRYPT.txt]
Looking for EXT ... [.gstdmcutby]
Looking for decryption KEY ... [OK]

Decrypt Files ...

Decrypt [ 0] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\changesreply.png.gstdmcutby] ... [OK]
Decrypt [ 1] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\classespartner.jpg.gstdmcutby] ... [OK]
Decrypt [ 2] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\filezilla.xml.gstdmcutby] ... [OK]
Decrypt [ 3] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\layout.xml.gstdmcutby] ... [OK]
Decrypt [ 4] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\NoMail.xml.gstdmcutby] ... [OK]
Decrypt [ 5] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\Outlook.xml.gstdmcutby] ... [OK]
Decrypt [ 6] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\sonar_policy.xml.gstdmcutby] ... [OK]
Decrypt [ 7] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\test.xml.gstdmcutby] ... [OK]

Total decrypted files: [8]

Scan finished!

safety · июня 2019

+
Update to decrypter for #STOP #Djvu #Ransomware with OFFLINE key for .horon
## [2.1.0.12]
+ Added offline key for .horon

+
Update to STOPDecrypter v2.1.0.13 with the OFFLINE key for .neras.
## [2.1.0.13]
+ Added offline key for .neras

Update to decrypter for #STOP #Djvu #Ransomware; includes OFFLINE keys for .truke, .dalle, and .lotep
## [2.1.0.14]
+ Added offline key for .truke, .dalle, .lotep
+
## [2.1.0.15]
= Added offline key for .nusar, .litar, .besub
+
## [2.1.0.16]
+ Added offline key for .cezor, .lokas
+
## [2.1.0.17]
+ Added offline key for .godes, .budak, .heran, .berosuce
+
## [2.1.0.18]
+ Added offline key for .herad, .gehad
+
## [2.1.0.19]
+ Added offline key for .gusau, .madek, .tocue

## [2.1.0.20]
+ Added offline key for .lapoi, .todar, .dodoc, .bopador, .novasof
+
## [2.1.0.21]
+ Added offline key for .ndarod, .access, .format
+
## [2.1.0.22]
+ Added offline key for .nelasod, .mogranos, .lotej, .prandel, .zatrov, .masok
+
## [2.1.0.23]
+ Added offline key for .cosakos, .nvetud, .kovasoh, .brusaf, .londec, .krusop
+
## [2.1.0.24]
+ Added offline key for .mtogas, .nasoh, .nacro, .pedro, .vesrato, .masodas
+ ## [2.2.0.0]
+ Added offline key for .nuksus, .cetori, .stare, .carote
+ Added support for .DATAWAIT variant
- Removed MAC and ID retrieval - irrelevant now

This is the final release of STOPDecrypter: v2.2.0.0. It will no longer be supported. :exclame:

Злоумышленники внесли изменения в вредоносное ПО в более новых версиях, что делает невозможным то, как я расшифровывал файлы раньше (частным образом и публично), начиная с .coharos (v0146), .gero (v0156) и .hese (v0157). Они начали использовать правильное асимметричное шифрование, что означает, что автономные ключи больше не будут существовать после этого выпуска окончательных ключей, которые я извлек.

https://www.bleepingcomputer.com/forums/t/671473/stop-ransomware-stop-puma-djvu-promo-drume-help-support-topic/page-50#entry4682102

https://download.bleepingcomputer.com/demonslay335/STOPDecrypter.zip

safety · июля 2019

ФБР публикует мастер-ключи расшифровки для GandCrab Ransomware

ФБР выпустило главные ключи дешифрования для версий 4, 5, 5.0.4, 5.1 и 5.2 Gandcrab Ransomware. Используя эти ключи, любой человек или организация может создать и выпустить свой собственный расшифровщик GandCrab.

Две недели спустя, в сотрудничестве с Европолом, ФБР, многочисленными правоохранительными органами и NoMoreRansom, Bitdefender выпустил расшифровщик для файлов, зашифрованных GandCrab версий 1, 4 и 5–5,2.

Хотя не было заявлено, как Bitdefender получил доступ к этим ключам, широко распространено мнение, что они смогли получить доступ к серверам управления и вымогателей для загрузки ключей.

Ниже приведены основные ключи дешифрования для версий 4, 5, 5.0.4, 5.1 и 5.2 GandCrab.

https://www.bleepingcomputer.com/news/security/fbi-releases-master-decryption-keys-for-gandcrab-ransomware/

Avast следом за Bitdefender так же выпустил новый релиз дешифратора для GandCrab для версий 4, 5.0-5.2

avast_antivirus:
releases new version of #GandCrab #decryptor, utilising master RSA keys released by the @FBI
.
Download: (link: https://www.avast.com/ransomware-decryption-tools#gandcrab) avast.com/ransomware-dec…

https://twitter.com/LadislavZezula/status/1151384506928107520

safety · августа 2019

+
Хорошая новость заключается в том, что исследователь безопасности и Ransomware BloodDolly выпустил eCh0raix Decoder...Используя этот декодер, жертвы могут с помоью метода brute force получить ключ дешифрования и использовать его для восстановления своих файлов.

Следует отметить, что текущая версия расшифровщика поддерживает только тех, кто был заражен до 17 июля. BloodDolly работает над тем, чтобы обновить дешифратор для поддержки новых версий.

https://www.bleepingcomputer.com/ransomware/decryptor/ech0raix-ransomware-decryptor-restores-qnap-files-for-free/

safety · сентября 2019

Лаборатория Касперского добавила расшифровку версий 4*, 5* GANDCRAB в своей утилите Kaspersky RakhniDecryptor

Trojan-Ransom.Win32.GandCrypt версии 4 и 5;

https://support.kaspersky.ru/10556

09:55:54.0925 0x0ffc Trojan-Ransom.Win32.Rakhni decryption tool 1.22.0.0 Jul 29 2019 19:25:13
10:03:59.0816 0x1848 Number of worker threads: 2
10:04:10.0018 0x1848 File path: Y:\test\GANDCRAB\20001228_124929.jpg.ojjvtfjee
10:04:12.0504 0x1848 Password recovered
10:04:12.0504 0x1848 Known suspicious file: \\?\Y:\test\GANDCRAB\20001228_124446.jpg.ojjvtfjee
10:04:12.0721 0x1848 Decryption success: \\?\Y:\test\GANDCRAB\20001228_124446.jpg.ojjvtfjee -> \\?\Y:\test\GANDCRAB\20001228_124446.jpg
10:04:12.0721 0x1848 Known suspicious file: \\?\Y:\test\GANDCRAB\20001228_124506.jpg.ojjvtfjee
10:04:12.0934 0x1848 Decryption success: \\?\Y:\test\GANDCRAB\20001228_124506.jpg.ojjvtfjee -> \\?\Y:\test\GANDCRAB\20001228_124506.jpg
10:04:12.0934 0x1848 Known suspicious file: \\?\Y:\test\GANDCRAB\20001228_124908.jpg.ojjvtfjee
10:04:13.0146 0x1848 Decryption success: \\?\Y:\test\GANDCRAB\20001228_124908.jpg.ojjvtfjee -> \\?\Y:\test\GANDCRAB\20001228_124908.jpg
10:04:13.0147 0x1848 Known suspicious file: \\?\Y:\test\GANDCRAB\20001228_124915.jpg.ojjvtfjee
10:04:13.0361 0x1848 Decryption success: \\?\Y:\test\GANDCRAB\20001228_124915.jpg.ojjvtfjee -> \\?\Y:\test\GANDCRAB\20001228_124915.jpg
10:04:13.0361 0x1848 Known suspicious file: \\?\Y:\test\GANDCRAB\20001228_124920.jpg.ojjvtfjee
10:04:13.0572 0x1848 Decryption success: \\?\Y:\test\GANDCRAB\20001228_124920.jpg.ojjvtfjee -> \\?\Y:\test\GANDCRAB\20001228_124920.jpg
10:04:13.0572 0x1848 Known suspicious file: \\?\Y:\test\GANDCRAB\20001228_124929.jpg.ojjvtfjee
10:04:13.0785 0x1848 Decryption success: \\?\Y:\test\GANDCRAB\20001228_124929.jpg.ojjvtfjee -> \\?\Y:\test\GANDCRAB\20001228_124929.jpg
10:04:13.0786 0x1848
10:04:13.0786 0x1848 Folder scan statistic (Y:\test\GANDCRAB):
10:04:13.0786 0x1848 Processed: 7
10:04:13.0786 0x1848 Found: 6
10:04:13.0786 0x1848 Decrypted: 6
10:04:13.0786 0x1848 ================================================================================
10:04:13.0786 0x1848 Scan finished
10:04:13.0786 0x1848 ================================================================================
10:10:21.0680 0x1b88 Deinitialize success

Специалисты «Лаборатория Касперского» представили бесплатные инструменты для дешифровки данных, пострадавших от атак Yatron и FortuneCrypt.

https://xakep.ru/2019/09/26/yatron-and-fortunecrypt/

safety · октября 2019

Жертвы Ouroboros Ransomware, также известного как Zeropadypt NextGen, могут бесплатно расшифровать свои файлы с помощью исследователя безопасности и расшифровщика, созданного для различных вариантов.

Спустя почти месяц, исследователь безопасности и эксперт по Ransomware BloodDolly объявил, что был обнаружен метод, который может позволить жертвам получить ключ расшифровки их файла. Однако для этого исследователю понадобится пара зашифрованных файлов и их незашифрованные варианты.

Supported extensions:
.[ID=*][Mail=*].Lazarus
.[ID=*][Mail=*].Lazarus+
.Email(*)(ID=.*
.Email=(*)ID=.*
.Email=[*]ID=[*].KRONOS

https://www.bleepingcomputer.com/news/security/free-ouroboros-ransomware-zeropadypt-nextgen-decryption-available/

+

.Email=[*]ID=[*].Angus
.Email=[*]ID=[*].Unknown
.Email=[*]ID=[*].Skynet
.Email=[*]ID=[*].Rez
.Email=[*]ID=[*].Codelocks

+

Changelog for Ouroboros Decoder

**********************
* Ouroboros Decoder *
**********************
=========
= 1.1.0 =
=========
- Enabled find key function

==========
= 1.0.10 =
==========
- Added support for more "Angus" variants

=========
= 1.0.9 =
=========
- Added Angus extension support (Ouroboros version 5)

+
BitdefenderLabs выпустил расшифровщик для Ouroboros ransomware. Обратите внимание, что он работает только для файлов, зашифрованных с помощью .lazarus / .lazarus + extensions

p.s. в отличие от дешифратора BloodDolly, нет прогресс-бара, который показывает вероятное время вычисления ключа. Пара зашифрованный и чистый файл должны быть помещены в папку tested, размер дешифратора BD в 16Мб в отличие от 350к дешифратора BloodDolly.

https://labs.bitdefender.com/2019/10/ouroboros-ransomware-decryption-tool/

safety · октября 2019

STOP Ransomware Decryptor Released for 148 Variants

A decryptor for the STOP Ransomware has been released by Emsisoft and Michael Gillespie that allows you to decrypt files encrypted by 148 variants of the infection for free.

While the decryptor can recover files for 148 variants, it needs to be noted that anyone who was infected after August 2019 cannot be helped with this service. With that said, it may be possible to decrypt using an offline key, so even with these variants there may be some success.

Emsisoft и Michael Gillespie выпустили расшифровщик для STOP Ransomware, который позволяет бесплатно расшифровывать файлы, зашифрованные 148 вариантами заражения.

.shadow, .djvu, .djvur, .djvuu, .udjvu, .uudjvu, .djvuq, .djvus, .djvur, .djvut, .pdff, .tro, .tfude, .tfudet, .tfudeq, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promorad, .promock, .promok, .promorad2, .kroput, .kroput1, .pulsar1, .kropun1, .charck, .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug, .etols, .guvara, .browec, .norvas, .moresa, .vorasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .berost, .forasom, .fordan, .codnat, .codnat1, .bufas, .dotmap, .radman, .ferosas, .rectot, .skymap, .mogera, .rezuc, .stone, .redmat, .lanset, .davda, .poret, .pidom, .pidon, .heroset, .boston, .muslat, .gerosan, .vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar, .litar, .besub, .cezor, .lokas, .godes, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .madek, .darus, .tocue, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, .prandel, .zatrov, .masok, .brusaf, .londec, .krusop, .mtogas, .nasoh, .nacro, .pedro, .nuksus, .vesrato, .masodas, .cetori, .stare, .carote, .gero, .hese, .seto, .peka, .moka, .kvag, .karl, .nesa, .noos, .kuub, .reco, .bora

Несмотря на то, что расшифровщик может восстанавливать файлы для 148 вариантов, следует отметить, что никому, кто был заражен после августа 2019 года, нельзя помочь данным дешифратором.

https://www.bleepingcomputer.com/news/security/stop-ransomware-decryptor-released-for-148-variants/

Starting...

File: G:\DATA\shifr\encode_files\STOP\rumba\80my_test\crypted files\inf.txt.rumba
Decrypted: G:\DATA\shifr\encode_files\STOP\rumba\80my_test\crypted files\inf.txt

File: G:\DATA\shifr\encode_files\STOP\rumba\80my_test\crypted files\keygpg.rar.rumba
Decrypted: G:\DATA\shifr\encode_files\STOP\rumba\80my_test\crypted files\keygpg.rar

File: G:\DATA\shifr\encode_files\STOP\rumba\80my_test\crypted files\readme.txt.rumba
Decrypted: G:\DATA\shifr\encode_files\STOP\rumba\80my_test\crypted files\readme.txt

File: G:\DATA\shifr\encode_files\STOP\rumba\80my_test\crypted files\акт.pdf.rumba
Decrypted: G:\DATA\shifr\encode_files\STOP\rumba\80my_test\crypted files\акт.pdf

File: G:\DATA\shifr\encode_files\STOP\rumba\80my_test\crypted files\Правила поведения вахтеров.jpg.rumba
Decrypted: G:\DATA\shifr\encode_files\STOP\rumba\80my_test\crypted files\Правила поведения вахтеров.jpg

Finished!

safety · октября 2019

Великолепная статья о МАйкле Гиллеспи, авторе ID Ransomware и множества расшифровщиков.

ID Ransomware в настоящее время может обнаруживать более 780 штаммов, из которых почти 40% имеют бесплатные расшифровщики, большинство из которых разработано Gillespie или Wosar, а другие - фирмами кибербезопасности, такими как Kaspersky, Avast и Bitdefender.

«Я думаю, что мы все неудачники», - говорит F.Wosar, обращаясь к членам команды. «У всех нас есть странные причуды, которые изолируют нас от нормального мира, но пригодятся, когда дело доходит до отслеживания вымогателей и помощи людям. Вот почему и как мы так хорошо работаем вместе. Вам не нужны учетные данные, если у вас есть страсть и желание научить себя необходимым навыкам. И у Майкла это есть, верно?

https://www.propublica.org/article/the-ransomware-superhero-of-normal-illinois

safety · января 2020

BitDefender информирует о выпуске дешифратора для Paradise Ransomware.

Paradise Ransomware, впервые появившийся в 2017 году, активно продвигается как услуга для заинтересованных партнеров. После заражения он проверяет, установлен ли язык клавиатуры на русский, казахский, белорусский или украинский, и, если это так, выходит без шифрования. В противном случае он шифрует файлы и удаляет теневые копии, чтобы пользователь не мог их восстановить.

После шифрования отображается сообщение о выкупе:

Новый расшифровщик Bitdefender может восстанавливать следующие расширения файлов:

. FC, . 2ksys19, . p3rf0rm4, . Recognizer, . VACv2, . paradise, . CORP, .immortal, . exploit, . prt, . STUB, . sev, . sambo

https://labs.bitdefender.com/wp-content/uploads/downloads/paradise-ransomware-decryptor/

дешифратор от Emsisoft отработал корректно: был найден ключ, и выполнена расшифровка файла
Starting...

File: G:\DATA\shifr\encode_files\Paradise\fc\10\crypted\KP4 Baru 2019 Asnanda DTPPHP.docx_Support_{JRo07C}.FC
Decrypted: G:\DATA\shifr\encode_files\Paradise\fc\10\crypted\KP4 Baru 2019 Asnanda DTPPHP.docx

Finished!

BitDefender:

Decryptor Started at Fri Jan 17 11:56:19 2020

Looking for pair of files ...
Found G:/DATA/shifr/encode_files/Paradise/fc/10/clean\KP4 Baru 2019 Asnanda DTPPHP.docx as clean file.
Found G:/DATA/shifr/encode_files/Paradise/fc/10/clean\KP4 Baru 2019 Asnanda DTPPHP.docx_Support_{JRo07C}.FC as encrypted file.
Looking for key ...
Key Found!

Searching for encrypted files ... [FOUND:6]
Testing decryption for 5 encrypted files:
Probing decryption on: [G:/DATA/shifr/encode_files/Paradise/fc/10/crypted\KP4 Baru 2019 Asnanda 1 DTPPHP.docx_Support_{JRo07C}.FC] ... [OK]
Probing decryption on: [G:/DATA/shifr/encode_files/Paradise/fc/10/crypted\KP4 Baru 2019 Asnanda 2 DTPPHP.docx_Support_{JRo07C}.FC] ... [OK]
Probing decryption on: [G:/DATA/shifr/encode_files/Paradise/fc/10/crypted\KP4 Baru 2019 Asnanda 3 DTPPHP.docx_Support_{JRo07C}.FC] ... [OK]
Probing decryption on: [G:/DATA/shifr/encode_files/Paradise/fc/10/crypted\KP4 Baru 2019 Asnanda 4 DTPPHP.docx_Support_{JRo07C}.FC] ... [OK]
Probing decryption on: [G:/DATA/shifr/encode_files/Paradise/fc/10/crypted\KP4 Baru 2019 Asnanda 5 DTPPHP.docx_Support_{JRo07C}.FC] ... [OK]

Decrypt Files ...

Decrypt [ 0] [G:/DATA/shifr/encode_files/Paradise/fc/10/crypted\KP4 Baru 2019 Asnanda 1 DTPPHP.docx_Support_{JRo07C}.FC] ... [OK]
Decrypt [ 1] [G:/DATA/shifr/encode_files/Paradise/fc/10/crypted\KP4 Baru 2019 Asnanda 2 DTPPHP.docx_Support_{JRo07C}.FC] ... [OK]
Decrypt [ 2] [G:/DATA/shifr/encode_files/Paradise/fc/10/crypted\KP4 Baru 2019 Asnanda 3 DTPPHP.docx_Support_{JRo07C}.FC] ... [OK]
Decrypt [ 3] [G:/DATA/shifr/encode_files/Paradise/fc/10/crypted\KP4 Baru 2019 Asnanda 4 DTPPHP.docx_Support_{JRo07C}.FC] ... [OK]
Decrypt [ 4] [G:/DATA/shifr/encode_files/Paradise/fc/10/crypted\KP4 Baru 2019 Asnanda 5 DTPPHP.docx_Support_{JRo07C}.FC] ... [OK]
Decrypt [ 5] [G:/DATA/shifr/encode_files/Paradise/fc/10/crypted\KP4 Baru 2019 Asnanda DTPPHP.docx_Support_{JRo07C}.FC] ... [OK]

Total decrypted files: [6]

Scan finished!

safety · марта 2020

Emsisoft обнаружил способ расшифровки файлов, зашифрованных новым PwndLocker Ransomware, чтобы жертвы могли восстановить свои файлы без уплаты выкупа.

bleepingcomputer.com были первыми, кто сообщил о сравнительно новом вымогателе, называемом PwndLocker, который шифровал организации и города по всему миру, а затем требовал выкуп в размере от 175 000 до 660 000 долларов в зависимости от размера сети.

Проанализировав PwndLocker, Фабиан Восар из Emsisoft смог обнаружить слабое место в вредоносном ПО, которое позволяет жертвам восстанавливать свои файлы без уплаты выкупа.

https://www.bleepingcomputer.com/news/security/pwndlocker-ransomware-gets-pwned-decryption-now-available/

safety · апреля 2020

Shade Ransomware прекращает активность, выпускает ключи дешифрования.
(Shade Ransomware shuts down, releases 750K decryption keys)

Операторы Shade Ransomware (Troldesh) прекратили свою деятельность, выпустили более 750 000 ключей дешифрования и принесли извинения за вред, нанесенный их жертвам.

Shade Ransomware работает с 2014 года. В отличие от других семей вымогателей, которые специально избегают шифрования жертв в России и других странах СНГ, Shade ориентирован преимущественно на людей в России и Украине.

По словам Майкла Гиллеспи, создателя ID Ransomware для идентификации сайта-вымогателя, представление, связанное с Shade Ransomware, было стабильным в течение многих лет до конца 2019 года, когда оно начало сокращаться.

Причина уменьшения количества представлений стала известна в эти выходные, когда операторы Shade Ransomware создали репозиторий GitHub и заявили, что прекратили распространение вымогателей в конце 2019 года.

Как часть этого заявления, операторы вымогателей приносят свои извинения за свои действия и предоставляют инструкции о том, как восстановить файлы, используя выпущенные ключи.

«Мы - команда, которая создала троян-шифратор, в основном известный как Shade, Troldesh или Encoder.858. Фактически, мы прекратили его распространение в конце 2019 года. Теперь мы приняли решение поставить последний пункт в этой истории и Публикуем все имеющиеся у нас ключи дешифрования (всего более 750 тысяч). Мы также публикуем нашу программу дешифрования, и мы также надеемся, что, имея ключи, антивирусные компании выпустят свои более удобные инструменты дешифрования. наша деятельность (включая исходные коды троянца) была безвозвратно уничтожена. Мы приносим извинения всем жертвам троянца и надеемся, что опубликованные нами ключи помогут им восстановить свои данные,»

- говорится в сообщении на GitHub

https://www.bleepingcomputer.com/news/security/shade-ransomware-shuts-down-releases-750k-decryption-keys/

+
Sergey @k1k_ Golovanov:
27 апр.
#Shade #Troldesh #Encoder.858 #ransomware just dropped all keys to public https://github.com/shade-team/keys decryption tools will be available ASAP!

https://twitter.com/k1k_/status/1254773729642475520

+
Лаборатория Касперского обновила дешифратор ShadeDecryptor.exe с учетом более полной базы ключей по всем вариантам.

xtbl
breaking_bad
ytbl
heisenberg
better_call_saul
los_pollos
da_vinci_code
magic_software_syndicate
windows10
windows8
no_more_ransom
tyson
crypted000007
crypted000078
dexter
miami_california
rsa3072
decrypt_it

safety · мая 2020

+
Bitdefender выпустил дешифратор для Ransom.Shade.

Technical description:

This tool recovers files encrypted by Shade/Troldesh ransomware. While it might be easy for the untrained eye to mistake it with Crysis/Dharma ransomware, Shade is quite different in several ways. One can tell this ransomware family and version apart by the extension it appends to the encrypted files, by some 10 similar ransom-notes or by the way encrypted files are named (base64):

Техническое описание:

Этот инструмент восстанавливает файлы, зашифрованные Shade / Troldesh Ransomware. В то время как неопытному глазу может быть легко перепутать его с Crysis / Dharma Ransomware, Shade сильно отличается по нескольким причинам. Можно отличить это семейство и версию вымогателей по расширению, которое он добавляет к зашифрованным файлам, примерно по 10 аналогичным примечаниям о выкупе или по названию зашифрованных файлов (base64):

Extensions used for encrypted file names:

.xtbl
.ytbl
.breaking_bad
.heisenberg
.better_call_saul
.los_pollos
.da_vinci_code
.magic_software_syndicate
.windows10
.windows8
.no_more_ransom
.tyson
.crypted000007
.crypted000078
.rsa3072
.decrypt_it
.dexter
.miami_california

User Ids, required for key match, are also found in encrypted file names, for most ransomware sub-versions. For older versions of the malware, the ID can be recovered from ransom-notes, or by brute-forcing the limited set of released keys.

Идентификаторы пользователей, необходимые для сопоставления ключей, также можно найти в зашифрованных именах файлов для большинства подверсий вымогателей. Для более старых версий вредоносного ПО идентификатор можно восстановить из записок с требованием выкупа или путем грубой форсировки ограниченного набора выпущенных ключей.

По умолчанию вредоносное ПО поставляется с некоторыми открытыми ключами RSA3072, которые используются для шифрования файлов, если ни один сервер не отвечает в течение нескольких часов. Авторы выпустили полный набор ключей шифрования, используемых во всех версиях вредоносных программ, в общедоступном хранилище Github.

В то время как жертвы, чьи системы могли успешно подключаться к серверу, имели бы собственные ключи шифрования, те, кто был заражен без активного подключения, были бы зашифрованы с помощью жестко закодированных открытых ключей RSA.

Набор динамически генерируемых ключей и загружаемых на серверы владельцев вымогателей занимает до 1,8 ГБ (~ 749 КБ), статические поставляемые закрытые ключи имеют размер всего 1,6 КБ и не превышают 4 МБ.

Наш инструмент дешифрования способен на лету идентифицировать соответствующие ключи, кэшировать их и применять быстрее при последующих попытках дешифрования. Инструмент не требует никаких дополнительных данных от пользователя для его расшифровки. Требуется активное подключение к Интернету для вычисления динамических ключей, если файлы были заражены в режиме онлайн.

https://labs.bitdefender.com/2020/05/shade-troldesh-ransomware-decryption-tool/

https://labs.bitdefender.com/wp-content/uploads/downloads/shade-troldesh-decryption-tool/

p.s.
есть проблема с расшифровкой старых версий (xtbl), без идентификатора в заголовке файла.

Decryptor Started at Sat May 2 18:15:43 2020

Decrypt Files ...

Decrypt [ 0] [G:/DATA/shifr/encode_files/Ransom.Shade/test_bd/xtbl\+0if0+ivMXHcyl6tZqDweA==.xtbl] ... [FAIL]
Decrypt [ 1] [G:/DATA/shifr/encode_files/Ransom.Shade/test_bd/xtbl\18Xq0kn84IGqXtmzudPOTSDMJ0Lj1ZVJVOBEFoQKXXwTzyqvN8X4E-alRl5uTEkJ.xtbl] ... [FAIL]
Decrypt [ 2] [G:/DATA/shifr/encode_files/Ransom.Shade/test_bd/xtbl\a0u0EzuJW93a88Nd9j+t5mBJATPplM5h-0-sl7sjLcs8ODtwacx5DNA8tBBdWKtc.xtbl] ... [FAIL]
Decrypt [ 3] [G:/DATA/shifr/encode_files/Ransom.Shade/test_bd/xtbl\FnYZtx67sY4Tv8XjHbVxYf2nOqwHZmL8QXmBnrYgcK-UCYg2QnTWO91bsHGw4Mh+02nI6RdviahtYFCEljZz4Q==.xtbl] ... [FAIL]
Decrypt [ 4] [G:/DATA/shifr/encode_files/Ransom.Shade/test_bd/xtbl\H3Su2qktIGRbZGrzyJeNNa4vZ8AhTg1gLOzxM6DXhf0=.xtbl] ... [FAIL]

Total decrypted files: [0]

Scan finished!

ЛК решает эту проблему путем запроса записки о выкупе README.TXT

+
проблема с расшифровкой и на новых версиях Ransom.shade с идентификатором в имени файла.

Decryptor Started at Sat May 2 18:50:09 2020

Decrypt Files ...

Decrypt [ 0] [G:/DATA/shifr/encode_files/Ransom.Shade/test_bd/no_more_ransom\HHL8U6-ijr0vf4G2r920WE42lN6mzldc9wjE36vtO0o=.62183FCF7979BD918744.crypted000007] ... [FAIL]
Decrypt [ 1] [G:/DATA/shifr/encode_files/Ransom.Shade/test_bd/no_more_ransom\ZH0tA7+Pe4HH9eFlh6yhwoePCYNOU6S4jZoT6f097y4=.62183FCF7979BD918744.crypted000007] ... [FAIL]

Total decrypted files: [0]

Scan finished!

Update:
обновился инструмент. Теперь все отлично работает!
=====
Update+
ESET обновил версию дешифратора,

[2020.05.15 21:51:42.019] - ..::::::::::::::::::....................
[2020.05.15 21:51:42.021] - .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT.. Win32/Filecoder.ED
[2020.05.15 21:51:42.024] - .::EE::::EE:SS:::::::.EE....EE....TT...... Version: 1.0.0.4
[2020.05.15 21:51:42.026] - .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT...... Built: May 5 2020
[2020.05.15 21:51:42.028] - .::EE:::::::::::::SS:.EE..........TT......
[2020.05.15 21:51:42.030] - .::EEEEEE:::SSSSSS::..EEEEEE.....TT..... Copyright (c) ESET, spol. s r.o.
[2020.05.15 21:51:42.031] - ..::::::::::::::::::.................... 1992-2020. All rights reserved.
[2020.05.15 21:51:42.033] - ....................................
[2020.05.15 21:51:42.033] -
[2020.05.15 21:51:42.033] -

однако, дешифратор предоставляется вместе с отдельным ключом для каждого случая шифрования.

Update++
Аваст так же выпустил дешифратор для Ransom/Troldesh
https://files.avast.com/files/decryptor/avast_decryptor_troldesh.exe
расшифровка идет от найденного файла readme*.txt. В том случае если файл найден,
по строке идентификатора ключ находится в сетевой базе и расшифровка выполняется корректно.

safety · мая 2020

+
Расшифровка Cryakl\CryLock 1.9.0.0
Alex Svirid:
Decrypter for CryLock (ex-Cryakl) 1.9.0.0 available now.
Victims may contact me for free decryption.

https://twitter.com/thyrex2002/status/1258869527221280769

safety · 15 янв

Румынская компания по кибербезопасности Bitdefender выпустила бесплатный дешифратор для DarkSide ransomware, который позволяет жертвам восстанавливать свои файлы без уплаты выкупа.

DarkSide - известен августа 2020 года и нацелен на предприятия.

В период с октября по декабрь 2020 года в операции наблюдался всплеск активности, когда количество представленных образцов DarkSide на платформе ID-Ransomware увеличилось более чем в четыре раза.

https://labs.bitdefender.com/2021/01/darkside-ransomware-decryption-tool/

https://www.bleepingcomputer.com/news/security/darkside-ransomware-decryptor-recovers-victims-files-for-free/

safety · 30 янв

Программа-вымогатель Fonix прекращает работу и выпускает главный ключ дешифрования

Операторы Fonix Ransomware прекратили свою работу и выпустили главную расшифровку, позволяющую жертвам бесплатно восстанавливать свои файлы.

Программа-вымогатель Fonix, также известная как Xinof и FonixCrypter, начала свою работу в июне 2020 года и с тех пор постоянно шифрует жертв. Операция вымогателя не была такой активной, как другие, такие как REvil, Netwalker или STOP, но начиная с ноября 2020 года она немного выросла, как показано в представленных ниже ID Ransomware.

Сегодня днем пользователь Twitter, утверждающий, что является администратором программы-вымогателя Fonix, объявил, что программа-вымогатель закрылась.

https://twitter.com/fnx67482837/status/1355249547824521216

Сообщение, представленное на изображении:

Я один из администраторов команды fonix.
вы знаете о команде fonix, но мы пришли к выводу.
мы должны использовать свои способности в позитивном ключе и помогать другим.
Также полностью удален источник rans0mware, но некоторые члены команды не согласны с закрытием проекта, например, администратор канала Telegram, который пытается обмануть людей в канале Telegram, продавая поддельный источник и данные.
В любом случае теперь главный администратор решил отложить всю предыдущую работу и бесплатно расшифровать все зараженные системы.
И ключ дешифрования будет доступен общественности.
Окончательное заявление команды будет объявлено в ближайшее время.

С уважением, FonixTeam

Мастер-ключи работают, дешифратор - беспорядок

В другом твите администратор Fonix поделился ссылкой на архив RAR под названием «Fonix_decrypter.rar», содержащий как дешифратор, так и главный закрытый ключ дешифрования.

Расшифровщик, выпущенный сегодня вечером, является инструментом операторов Fonix Ransomware при выполнении этой бесплатной тестовой расшифровки и не позволяет жертве расшифровать весь компьютер.

Хорошая новость заключается в том, что Michael Gillespie сообщил BleepingComputer, что главные ключи работают, но только с некоторыми версиями вымогателей Fonix.
+

Обратите внимание, что файл «CPriv.key» будет * необходим * для дешифрования. Без этого файла (ов) с зараженных машин невозможно расшифровать какие-либо файлы - никогда.

дешифратор Emisosft расшифрует все версии вымогателя, включая зашифрованные расширения файлов .Fonix, .FONIX, .repter, .XINOF.

Решение будет доступно в ближайшее время.

https://www.bleepingcomputer.com/news/security/fonix-ransomware-shuts-down-and-releases-master-decryption-key/

Fonix ransomware отказывается от криминальной деятельности и приносит свои извинения

Впервые Fonix был замечен в середине 2020 года, но привлекать внимание он начал только в сентябре-октябре того же года. Считается, что он имеет иранское происхождение. Известно, что он использует четыре метода шифрования - AES, Salsa20, ChaCha и RSA, но поскольку он шифрует все некритические системные файлы, он медленнее по сравнению с другими предложениями RaaS.

Зашифрованные файлы обычно имеют расширения .FONIX и .XINOF (Fonix в обратном порядке); однако также использовалось расширение .repter. (5ef2a211e48b408b0e5c9dfac30683e8f7eb83231c11e25c01368b0ef1868ea1)

https://blog.malwarebytes.com/ransomware/2021/02/fonix-ransomware-gives-up-life-of-crime-apologises/

Шифровальщик FonixCrypter был активен как минимум с июня 2020 года. По информации российского ИБ-специалиста Андрея Иванова, вредонос регулярно обновлялся, и в прошлом году было выпущено как минимум семь различных вариантов FonixCrypt.

https://xakep.ru/2021/02/01/fonixcrypter/

(один из используемых ключей посвящен Michael Gillespie:

Полное имя C:\PROGRAMDATA\XINOF.EXE

Доп. информация на момент обновления списка
SHA1 4ADEC84275A057A4919964AD7B9F5D2F2FBA7949
MD5 72DCDED99BE621C87A6EC058BD9101A3

Ссылки на объект
Ссылка C:\WINDOWS\SYSTEM32\TASKS\FONIX

Ссылка C:\WINDOWS\SYSTEM32\TASKS\FONIX10

Ссылка C:\WINDOWS\SYSTEM32\TASKS\FONIX11

Ссылка HKLM\uvs_software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\Michael Gillespie
Michael Gillespie C:\ProgramData\XINOF.exe

Ссылка HKLM\uvs_software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\Michael Gillespie
Michael Gillespie C:\ProgramData\XINOF.exe

Ссылка HKLM\esrvijaxf\Software\Microsoft\Windows\CurrentVersion\RunOnce\Michael Gillespie
Michael Gillespie C:\ProgramData\XINOF.exe

Ссылка HKLM\esrvijaxf\Software\Microsoft\Windows\CurrentVersion\Run\Michael Gillespie
Michael Gillespie C:\ProgramData\XINOF.exe

Ссылка HKLM\uvdwpaufk\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\C:\PROGRAMDATA\XINOF.EXE

)
пример расшифровки:

Loading Key ...

Enter File name :
Decrypting File ...

Decrypt: keygpg.rar.Email=[[email protected]]ID=[D45CE646].XINOF
ECC4333C83EB88179A5AF7D95BF4ECB5
5C7597E6F829E5B4
Done

Расшифровка FonixRansomware

1. Хорошая новость заключается в том, что если вы были заражены FonixRansomware, теперь вы можете бесплатно расшифровать свои файлы с помощью обновленной версии Kaspersky RakhniDecryptor.

18:44:25.0093 0x0df4 Trojan-Ransom.Win32.Rakhni decryption tool 1.27.0.0 Feb 1 2021 18:24:58
18:44:29.0176 0x0df4 Initialize success
18:45:18.0461 0x051c Number of worker threads: 2
18:45:48.0837 0x051c File path: Z:\test\fonix\lk\ecrypted\4.3.2\keygpg.rar.Email=[[email protected]]ID=[D45CE646].XINOF
18:45:53.0495 0x051c Fonix: found key file: \\?\Z:\test\fonix\lk\ecrypted\4.3.2\Cpriv.key
18:45:53.0619 0x051c Fonix: key file decrypted: \\?\Z:\test\fonix\lk\ecrypted\4.3.2\Cpriv.key
18:45:53.0638 0x051c Password recovered
18:45:53.0919 0x051c Folder scan statistic (Z:\test\fonix\lk\ecrypted\4.3.2):
18:45:53.0919 0x051c Processed: 12
18:45:53.0919 0x051c Found: 11
18:45:53.0919 0x051c Decrypted: 11
18:45:53.0919 0x051c ================================================================================
18:45:53.0919 0x051c Scan finished
18:45:53.0919 0x051c ================================================================================

update1:
часть файлов для версии XINOF/4.3.2шифруется с расширением FONIX

update2:
более ранний варинт Fonix -".repter", RakhniDecryptor расшифровать пока не может.

21:50:24.0369 0x17b8 Initialize success
21:50:48.0761 0x1d6c Number of worker threads: 2
21:51:05.0750 0x1d6c File path: Z:\test\fonix\lk\ecrypted\repter1\keygpg.rar.EMAIL=[[email protected]]ID=[B2AA21BF].repter
21:51:07.0136 0x1d6c File is not supported:

safety · 4 мар

Emsisoft: We've updated our decryptor for Aurora #ransomware to support the .systems32x extension

[Apr, 1, 2019] - Version: 1.0.0.10
Emsisoft Decryptor for Aurora

Aurora is a ransomware family that encrypts files using XTEA and RSA, and may also be known as "Zorro", "Desu", or "AnimusLocker". Known extensions include ".Aurora", ".aurora", ".animus", ".ONI", ".Nano", ".cryptoid", ".peekaboo", ".isolated", ".infected", ".locked", ".veracrypt", ".masked", ".crypton", ".coronolock", ".bukyak", ".serpom", and ".systems32x".

The malware leaves many ransom notes, examples include "!-GET_MY_FILES-!.txt", "#RECOVERY-PC#.txt", and "@[email protected].txt"

https://www.emsisoft.com/ransomware-decryption-tools/aurora

Привет, незнакомец!

Разделы

In this Discussion

Счастливые владельцы зашифрованных файлов могут получить обратно свои ключи/файлы....

Комментарии

Привет, незнакомец!

Быстрые ссылки

Разделы

In this Discussion

Счастливые владельцы зашифрованных файлов могут получить обратно свои ключи/файлы....

Комментарии