Счастливые владельцы зашифрованных файлов могут получить обратно свои ключи/файлы....
Войдите или Зарегистрируйтесь чтобы комментировать.
Похоже, вы здесь новенький. Чтобы принять участие, нажмите одну из кнопок ниже!
Комментарии
Средство дешифрования ESET GandCrab предназначено для дешифрования файлов из 979 сирийских жертв независимо от версии вредоносного ПО, на которую они были затронуты (от 1.0 до 5.0). Здесь можно скачать дешифратор. Для получения дополнительных инструкций и информации обратитесь к нашей статье базы знаний дешифратора GandCrab.
Это не первый раз, когда авторы вредоносных программ выпустили ключи для распространенного семейства ransomware (или его вариантов), что позволяет компаниям кибербезопасности создавать дешифраторы. Ранее ESET выпустила такие инструменты для TeslaCrypt, несколько вариантов Crysis, а также для более ранних версий AESNI ransomware.
https://www.welivesecurity.com/2018/10/25/eset-releases-new-decryptor-syrian-victims-gandcrab-ransomware/
Недавно выпущенный дешифратор позволяет бесплатно восстанавливать файлы, зашифрованные некоторыми версиями GandCrab, семейства ransomware, которые затронули сотни тысяч людей с начала года.
Бесплатный инструмент дешифрования GandCrab расшифровывает файлы, зашифрованные версиями 1, 4 и 5. Эти версии распознаются расширениями, которые они используют: GDCB, KRAB и ряд случайных символов различной длины (пример: .rnsgl). Инструкции по использованию дешифратора доступны позже в статье.
Сегодня в блоге Bitdefender отмечает, что они работают над решением для дешифрования данных, заблокированных GandCrab 2 и 3, которые используют расширение .CRAB и просят пользователей быть терпеливыми, а не платить выкуп. В примечании о выкупе обычно запрашиваются жертвы между 600 и 6000 долларов в обмен на ключ дешифрования.
https://www.bleepingcomputer.com/news/security/free-decrypter-available-for-the-latest-gandcrab-ransomware-versions/
Хорошей новостью является то, что теперь вы можете вернуть свои данные, не выплачивая центов кибер-преступникам, так как Bitdefender выпустил бесплатную утилиту, которая автоматизирует процесс дешифрования данных. Этот инструмент восстанавливает файлы, зашифрованные версиями 1, 4 и 5. Ransomware GandCrab. Вы можете распознать это программное обеспечение и его версию с помощью расширения, которое оно добавляет к зашифрованным файлам и / или записку о выкупе:
https://labs.bitdefender.com/2018/10/gandcrab-ransomware-decryption-tool-available-for-free/
Если вы были заражены вариантом HiddenTear Ransomware, то вам повезло, поскольку Michael Gillespie создал программу под названием HT Brute Forcer, которая позволяет вам восстановить свой ключ шифрования, не выплачивая выкуп.
HiddenTear - это имя семейства вымогателей, полный исходный код которого был опубликован на GitHub. Это позволило злоумышленникам загрузить исходный код и создать свои собственные варианты вымогателей, которые можно использовать для заражения жертв.
Из-за широкой доступности исходного кода, существует много вирусов-вымогателей под разными именами, которые используют одну и ту же базу кода HiddenTear. Поскольку исходный код был дешифруемым, это означает, что все другие программы-вымогатели, созданные из того же кода, также являются дешифруемыми.
https://www.bleepingcomputer.com/ransomware/decryptor/how-to-decrypt-hiddentear-ransomware-with-ht-brute-forcer/
BleepingComputer.com официально присоединился к проекту NoMoreRansom (NMR)
BleepingComputer с гордостью объявляет, что мы присоединились к проекту No More Ransom в качестве ассоциированного партнера! Мы предоставляем информацию о вымогателях, поддержку и удивительные расшифровщики от Майкла Джиллеспи с самого начала, и это партнерство позволит большему количеству жертв получить помощь, в которой они нуждаются.
Как BleepingComputer впервые начал работать с вымогателями
BleepingComputer впервые начал писать о жертвах вымогателей и как их поддерживать, все это восходит к 2012 году, когда был выпущен первый широко распространенный вымогатель под названием ACCDFISA.
К счастью, Фабиан Восар из Emsisoft пришел и смог продолжать помогать жертвам в восстановлении их файлов.
Затем, в 2013 году, появился CryptoLocker, и он покорил мир компьютерной безопасности, когда масштабные кампании по распространению вредоносного ПО начали подталкивать установщика вымогателей. Только когда я установил связь, Zbot распространял CryptoLocker и написал о ней, я понял, насколько разработчики вымогателей обращали внимание на то, о чем мы пишем.
По мере роста вымогателей BleepingComputer начал публиковать наши еженедельные статьи «Неделя в вымогателях» и начал сотрудничать с независимыми исследователями в области безопасности, а также с такими компаниями, как Emsisoft, Kaspersky, Intel, McAfee, ESET, Malwarebytes, Avast, GData и многими другими. общая цель - помочь пострадавшим быть в курсе событий и получать помощь.
Однако с момента как появился TeslaCrypt, я увидел, что удивительное сообщество, созданное на BleepingComputer, действительно собралось вместе. Используя инструмент BloodDolly TeslaDecoder, члены нашего сообщества добровольно посвятили свое время и циклы ЦП теме форума на 148 страницах, посвященной факторизации сотен, если не тысяч, ключей шифрования жертвы, чтобы они могли получить свои файлы обратно бесплатно.
Разработчики Ransomware также начали приходить к BleepingComputer, чтобы выпустить свои главные ключи дешифрования, когда они отказались от своего вымогателя или переключились на новый вариант. Выпуск этих ключей позволил создать множество расшифровщиков для Crysis, AES-NI, XData, DXXD, Dharma и многих других.
В то время как вымогатели постепенно переключались с кампаний по рассылке спама на более направленные атаки, этот тип инфекции по-прежнему является серьезной проблемой для его жертв.
С учетом сказанного мы будем продолжать помогать жертвам вымогателей и с нетерпением ждем возможности работать с No More Ransom и его партнерами, пока эта угроза не исчезнет!
https://www.bleepingcomputer.com/announcement/bleepingcomputer/bleepingcomputercom-is-now-a-partner-with-no-more-ransom/
p.s. работает дешифратор для STOP/rumba в случае офлайн-шифрования.
Bitdefender #decryption tool now also supports #GandCrab versions 5.04 - 5.1 https://labs.bitdefender.com/2019/02/new-gandcrab-v5-1-decryptor-available-now/
…
Сегодня мы рады сообщить, что наше сотрудничество с румынской полицией, Европолом и другими правоохранительными органами привело к появлению еще одного нового расшифровщика для всех версий GandCrab Ransomware, выпущенных с октября 2018 года.
Если вам нужно расшифровать версии 1, 4 и выше до 5.1, загрузите и запустите наш новый инструмент:
https://labs.bitdefender.com/2019/02/new-gandcrab-v5-1-decryptor-available-now/
https://labs.bitdefender.com/2018/10/gandcrab-ransomware-decryption-tool-available-for-free/
примеры дешифровки:
5.03: https://app.any.run/tasks/3a318c39-36d4-45e2-9477-009570b964ab
Looking for ransom note ... [G:\DATA\shifr\encode_files\GandCrab\5.03\10\encode\MVKDAYY-DECRYPT.txt]
Looking for VERSION ... [V5]
Looking for EXT ... [.mvkdayy]
Looking for ID ... [OK]
Looking for decryption KEY ... [OK]
Decrypt Files ...
Decrypt [ 8] [G:\DATA\shifr\encode_files\GandCrab\5.03\10\filezilla.xml.mvkdayy] ... [OK]
Decrypt [ 9] [G:\DATA\shifr\encode_files\GandCrab\5.03\10\layout.xml.mvkdayy] ... [OK]
Decrypt [ 10] [G:\DATA\shifr\encode_files\GandCrab\5.03\10\NoMail.xml.mvkdayy] ... [OK]
Decrypt [ 11] [G:\DATA\shifr\encode_files\GandCrab\5.03\10\pkcs11.txt.mvkdayy] ... [OK]
Decrypt [ 12] [G:\DATA\shifr\encode_files\GandCrab\5.03\10\revocations.txt.mvkdayy] ... [OK]
Decrypt [ 13] [G:\DATA\shifr\encode_files\GandCrab\5.03\10\SiteSecurityServiceState.txt.mvkdayy] ... [OK]
Decrypt [ 14] [G:\DATA\shifr\encode_files\GandCrab\5.03\10\sonar_policy.xml.mvkdayy] ... [OK]
Decrypt [ 15] [G:\DATA\shifr\encode_files\GandCrab\5.03\10\test.xml.mvkdayy] ... [OK]
Total decrypted files: [16]
Scan finished!
Total decrypted files: [16]
Scan finished!
5.04 https://app.any.run/tasks/fe7d7c84-8a88-4007-9f26-d1bc2c47f45b
Looking for ransom note ... [G:\DATA\shifr\encode_files\GandCrab\5.04\10\WZRDMCGL-DECRYPT.txt]
Looking for VERSION ... [V5]
Looking for EXT ... [.wzrdmcgl]
Looking for ID ... [OK]
Looking for decryption KEY ... [OK]
Decrypt Files ...
Decrypt [ 0] [G:\DATA\shifr\encode_files\GandCrab\5.04\10\Black board.xml.wzrdmcgl] ... [OK]
Decrypt [ 1] [G:\DATA\shifr\encode_files\GandCrab\5.04\10\filezilla.xml.wzrdmcgl] ... [OK]
Decrypt [ 2] [G:\DATA\shifr\encode_files\GandCrab\5.04\10\layout.xml.wzrdmcgl] ... [OK]
Decrypt [ 3] [G:\DATA\shifr\encode_files\GandCrab\5.04\10\NoMail.xml.wzrdmcgl] ... [OK]
Decrypt [ 4] [G:\DATA\shifr\encode_files\GandCrab\5.04\10\Outlook.xml.wzrdmcgl] ... [OK]
Decrypt [ 5] [G:\DATA\shifr\encode_files\GandCrab\5.04\10\queue.sqlite3.wzrdmcgl] ... [OK]
Decrypt [ 6] [G:\DATA\shifr\encode_files\GandCrab\5.04\10\sonar_policy.xml.wzrdmcgl] ... [OK]
Decrypt [ 7] [G:\DATA\shifr\encode_files\GandCrab\5.04\10\times.json.wzrdmcgl] ... [OK]
Total decrypted files: [8]
Scan finished!
Looking for ransom note ... [G:\DATA\shifr\encode_files\GandCrab\5.1\20\MKPZNULUVY-DECRYPT.txt]
Looking for VERSION ... [V5]
Looking for EXT ... [.mkpznuluvy]
Looking for ID ... [OK]
Looking for decryption KEY ... [OK]
Decrypt Files ...
Decrypt [ 0] [G:\DATA\shifr\encode_files\GandCrab\5.1\20\000017.log.mkpznuluvy] ... [OK]
Decrypt [ 1] [G:\DATA\shifr\encode_files\GandCrab\5.1\20\ContentStore.xml.mkpznuluvy] ... [OK]
Decrypt [ 2] [G:\DATA\shifr\encode_files\GandCrab\5.1\20\filezilla.xml.mkpznuluvy] ... [OK]
Decrypt [ 3] [G:\DATA\shifr\encode_files\GandCrab\5.1\20\layout.xml.mkpznuluvy] ... [OK]
Decrypt [ 4] [G:\DATA\shifr\encode_files\GandCrab\5.1\20\Outlook.xml.mkpznuluvy] ... [OK]
Decrypt [ 5] [G:\DATA\shifr\encode_files\GandCrab\5.1\20\queue.sqlite3.mkpznuluvy] ... [OK]
Decrypt [ 6] [G:\DATA\shifr\encode_files\GandCrab\5.1\20\sonar_policy.xml.mkpznuluvy] ... [OK]
Decrypt [ 7] [G:\DATA\shifr\encode_files\GandCrab\5.1\20\tracking.log.mkpznuluvy] ... [OK]
Total decrypted files: [8]
Scan finished!
Total decrypted files: [8]
Scan finished!
Для пользователей, чьи компьютеры были заражены последними подтвержденными версиями GandCrab, доступен бесплатный инструмент для расшифровки файлов. Он может разблокировать данные, зашифрованные версиями вредоносного ПО с версий 4 по 5.1, и некоторыми более ранними выпусками угрозы.
https://www.bleepingcomputer.com/news/security/gandcrab-decrypter-available-for-v51-new-variant-already-out/
+
примеры расшифровки:
5.02
https://app.any.run/tasks/cbbf63ef-347f-4320-aebf-58aa240a2d2a
Looking for ransom note ... [G:\DATA\shifr\encode_files\GandCrab\5.02\10\WRVOQVIPR-DECRYPT.txt]
Looking for VERSION ... [V5]
Looking for EXT ... [.wrvoqvipr]
Looking for ID ... [OK]
Looking for decryption KEY ... [OK]
Decrypt Files ...
Decrypt [ 0] [G:\DATA\shifr\encode_files\GandCrab\5.02\10\filezilla.xml.wrvoqvipr] ... [OK]
Decrypt [ 1] [G:\DATA\shifr\encode_files\GandCrab\5.02\10\layout.xml.wrvoqvipr] ... [OK]
Decrypt [ 2] [G:\DATA\shifr\encode_files\GandCrab\5.02\10\NoMail.xml.wrvoqvipr] ... [OK]
Decrypt [ 3] [G:\DATA\shifr\encode_files\GandCrab\5.02\10\Outlook.xml.wrvoqvipr] ... [OK]
Decrypt [ 4] [G:\DATA\shifr\encode_files\GandCrab\5.02\10\queue.sqlite3.wrvoqvipr] ... [OK]
Decrypt [ 5] [G:\DATA\shifr\encode_files\GandCrab\5.02\10\sonar_policy.xml.wrvoqvipr] ... [OK]
Total decrypted files: [6]
Scan finished!
5.0 https://app.any.run/tasks/a0456fee-bf41-4b9f-9754-2416ccc32e01
Looking for ransom note ... [G:\DATA\shifr\encode_files\GandCrab\5.0\10\YQOAP-DECRYPT.txt]
Looking for VERSION ... [V5]
Looking for EXT ... [.yqoap]
Looking for ID ... [OK]
Looking for decryption KEY ... [OK]
Decrypt Files ...
Decrypt [ 0] [G:\DATA\shifr\encode_files\GandCrab\5.0\10\filezilla.xml.yqoap] ... [OK]
Decrypt [ 1] [G:\DATA\shifr\encode_files\GandCrab\5.0\10\layout.xml.yqoap] ... [OK]
Decrypt [ 2] [G:\DATA\shifr\encode_files\GandCrab\5.0\10\NoMail.xml.yqoap] ... [OK]
Decrypt [ 3] [G:\DATA\shifr\encode_files\GandCrab\5.0\10\Outlook.xml.yqoap] ... [OK]
Decrypt [ 4] [G:\DATA\shifr\encode_files\GandCrab\5.0\10\sonar_policy.xml.yqoap] ... [OK]
Total decrypted files: [5]
Scan finished!
Total decrypted files: [5]
Scan finished!
Looking for ransom note ... [G:\DATA\shifr\encode_files\GandCrab\v4\10\KRAB-DECRYPT.txt]
Looking for VERSION ... [V4]
Looking for EXT ... [.krab]
Looking for ID ... [OK]
Looking for decryption KEY ... [OK]
Decrypt Files ...
Decrypt [ 0] [G:\DATA\shifr\encode_files\GandCrab\v4\10\filezilla.xml.KRAB] ... [OK]
Decrypt [ 1] [G:\DATA\shifr\encode_files\GandCrab\v4\10\layout.xml.KRAB] ... [OK]
Decrypt [ 2] [G:\DATA\shifr\encode_files\GandCrab\v4\10\Outlook.xml.KRAB] ... [OK]
Decrypt [ 3] [G:\DATA\shifr\encode_files\GandCrab\v4\10\prefs.js.KRAB] ... [OK]
Decrypt [ 4] [G:\DATA\shifr\encode_files\GandCrab\v4\10\recentservers.xml.KRAB] ... [OK]
Decrypt [ 5] [G:\DATA\shifr\encode_files\GandCrab\v4\10\sonar_policy.xml.KRAB] ... [OK]
Total decrypted files: [6]
Scan finished!
Total decrypted files: [6]
Scan finished!
для актуальной версии GandCrab 5.2 текущее решение не работает.
(возможно, это вопрос времени.)
Looking for ransom note ... [G:\DATA\shifr\encode_files\GandCrab\5.2\10\GSTDMCUTBY-DECRYPT.txt]
Looking for VERSION ... [V5]
Looking for EXT ... [.gstdmcutby]
Looking for ID ... [OK]
Looking for decryption KEY ... [FAIL:KEY]
[ERR:Init]
Total decrypted files: [0]
Added some new OFFLINE keys to decrypter for #STOP #DJVU #Ransomware for OFFLINE IDs "cZs3TaUYZzXCH1vdE44HNr1gnD2LtTIiSFFYv5t1" (.promoz, .promok, and .promorad), and "TLuCxxAdd5BLXYWIvnjsWaCNR5lWoznhlRTSott1" (.promok). | https://www.bleepingcomputer.com/forums/t/671473/stop-ransomware-tro-djvu-rumba-openmetxt-support-topic/#entry4732583 …
Update 03/07/19:
STOPDecrypter has been updated to include support for the promoz, .promock, .promorad variants if you were hit by the OFFLINE KEY - - and support for the .promok variant if you were hit by the OFFLINE KEY - - as explained in Post #1200. As of now there are four OFFLINE KEYs (hard-coded keys) embedded in the decrypter tool.
Update 03/11/19:
STOPDecrypter has been updated to include support for the .promorad2 variant if you were hit by the OFFLINE KEY - as explained in Post #1251. As of now there are five OFFLINE KEYs (hard-coded keys) embedded in the decrypter tool.
+
Update 03/13/19:
STOPDecrypter has been updated to include support for the .kroput variant if you were hit by the OFFLINE KEY - as explained in Post #1305. As of now there are six OFFLINE KEYs (hard-coded keys) embedded in the decrypter tool.
https://www.bleepingcomputer.com/forums/t/671473/stop-ransomware-tro-djvu-rumba-openmetxt-support-topic/
подробнее о STOP Ransomware:
https://id-ransomware.blogspot.com/2017/12/stop-ransomware.html
+
еще детальные ответы от разработчика дешифратора:
https://decryptors.blogspot.com/2019/01/stop-djvu-decryption-add-data.html
FAQ от разработчика дешифратора.
Updated #STOP #Ransomware decrypter (v 2.0.1.13) with a bunch of OFFLINE IDs/keys for extensions .kroput1, .charck, .kropun, .doples, .luces, .luceq, .chech, .pulsar1, and .proden.
Updated #STOP #Djvu #Ransomware decrypter to version 2.0.2.2 with 2 new OFFLINE IDs for extensions .drume, .tronas, .trosak, and .grovas - https://www.bleepingcomputer.com/forums/t/671473/stop-ransomware-stop-puma-djvu-promo-drume-support-topic/?p=4751758 …
+ + + + все известные OFFLINE ключи на текущий момент:
New release (v 2.1.0.4 from 17/05/2019) of decrypter for #STOP #Djvu #Ransomware with more OFFLINE IDs for .shadow, .fordan, .codnat, and .dotmap
Changelog:
## [2.1.0.4]
+ Internal changes
+ Added offline key for .shadow, .fordan, .codnat, .dotmap
+
## [2.1.0.6]
+ Added offline key for .ferosas, .rectot + Added support for .INFOWAIT variant
## [2.1.0.5]
+ Internal bug fix
## [2.1.0.7]
+ Added offline key for .skymap, .mogera, .rezuc
Updated STOPDecrypter v2.1.0.7, added more offline keys.
+
Update STOPDecrypter v2.1.0.8 with more OFFLINE keys.
for extensions: .stone, .lanset, .davda, .poret, .pidon
+
## [2.1.0.9] +
Update to #STOP #Djvu #Ransomware decrypter, added OFFLINE keys for extensions .boston, .muslat, and .gerosan
## [2.1.0.10]
+ Added offline key for .boston, .muslat, .gerosan
## [2.1.0.11]
+ Added offline key for .vesad
мы выпустили обновление для инструмента, который нейтрализует последние версии GandCrab, включая версию 5.2. Инструмент доступен сразу и может быть загружен бесплатно ниже или из проекта No More Ransom.
https://labs.bitdefender.com/2019/06/good-riddance-gandcrab-were-still-fixing-the-mess-you-left-behind
Good riddance, GandCrab! We’re still fixing the mess you left behind! http://bit.ly/2XY4xGc - New GandCrab decryptor available for victims of version 5.2! #dontpayup #nomoreransom
Release of GandCrab 5.2 Decryptor Ends a Bad Ransomware Story
В сотрудничестве с правоохранительными органами по всему миру Bitdefender выпустил обновленный расшифровщик для GandCrab Ransomware, который может расшифровывать файлы, зашифрованные версиями 1, 4 и 5–5,2.
В объявлениях Bitdefender и Europol был выпущен расшифровщик GandCrab Ransomware, который расшифровывает последние версии Ransomware.
https://www.bleepingcomputer.com/news/security/release-of-gandcrab-52-decryptor-ends-a-bad-ransomware-story/
Update to decrypter for #STOP #Djvu #Ransomware with OFFLINE key for .horon
## [2.1.0.12]
+ Added offline key for .horon
+
Update to STOPDecrypter v2.1.0.13 with the OFFLINE key for .neras.
## [2.1.0.13]
+ Added offline key for .neras
Update to decrypter for #STOP #Djvu #Ransomware; includes OFFLINE keys for .truke, .dalle, and .lotep
## [2.1.0.14]
+ Added offline key for .truke, .dalle, .lotep
+
## [2.1.0.15]
= Added offline key for .nusar, .litar, .besub
+
## [2.1.0.16]
+ Added offline key for .cezor, .lokas
+
## [2.1.0.17]
+ Added offline key for .godes, .budak, .heran, .berosuce
+
## [2.1.0.18]
+ Added offline key for .herad, .gehad
+
## [2.1.0.19]
+ Added offline key for .gusau, .madek, .tocue
## [2.1.0.20]
+ Added offline key for .lapoi, .todar, .dodoc, .bopador, .novasof
+
## [2.1.0.21]
+ Added offline key for .ndarod, .access, .format
+
## [2.1.0.22]
+ Added offline key for .nelasod, .mogranos, .lotej, .prandel, .zatrov, .masok
+
## [2.1.0.23]
+ Added offline key for .cosakos, .nvetud, .kovasoh, .brusaf, .londec, .krusop
+
## [2.1.0.24]
+ Added offline key for .mtogas, .nasoh, .nacro, .pedro, .vesrato, .masodas
+ ## [2.2.0.0]
+ Added offline key for .nuksus, .cetori, .stare, .carote
+ Added support for .DATAWAIT variant
- Removed MAC and ID retrieval - irrelevant now
This is the final release of STOPDecrypter: v2.2.0.0. It will no longer be supported. :exclame:
https://www.bleepingcomputer.com/forums/t/671473/stop-ransomware-stop-puma-djvu-promo-drume-help-support-topic/page-50#entry4682102
https://download.bleepingcomputer.com/demonslay335/STOPDecrypter.zip
ФБР выпустило главные ключи дешифрования для версий 4, 5, 5.0.4, 5.1 и 5.2 Gandcrab Ransomware. Используя эти ключи, любой человек или организация может создать и выпустить свой собственный расшифровщик GandCrab.
Две недели спустя, в сотрудничестве с Европолом, ФБР, многочисленными правоохранительными органами и NoMoreRansom, Bitdefender выпустил расшифровщик для файлов, зашифрованных GandCrab версий 1, 4 и 5–5,2.
Хотя не было заявлено, как Bitdefender получил доступ к этим ключам, широко распространено мнение, что они смогли получить доступ к серверам управления и вымогателей для загрузки ключей.
Ниже приведены основные ключи дешифрования для версий 4, 5, 5.0.4, 5.1 и 5.2 GandCrab.
https://www.bleepingcomputer.com/news/security/fbi-releases-master-decryption-keys-for-gandcrab-ransomware/
Avast следом за Bitdefender так же выпустил новый релиз дешифратора для GandCrab для версий 4, 5.0-5.2
Хорошая новость заключается в том, что исследователь безопасности и Ransomware BloodDolly выпустил eCh0raix Decoder...Используя этот декодер, жертвы могут с помоью метода brute force получить ключ дешифрования и использовать его для восстановления своих файлов.
Следует отметить, что текущая версия расшифровщика поддерживает только тех, кто был заражен до 17 июля. BloodDolly работает над тем, чтобы обновить дешифратор для поддержки новых версий.
https://www.bleepingcomputer.com/ransomware/decryptor/ech0raix-ransomware-decryptor-restores-qnap-files-for-free/
https://support.kaspersky.ru/10556
10:03:59.0816 0x1848 Number of worker threads: 2
10:04:10.0018 0x1848 File path: Y:\test\GANDCRAB\20001228_124929.jpg.ojjvtfjee
10:04:12.0504 0x1848 Password recovered
10:04:12.0504 0x1848 Known suspicious file: \\?\Y:\test\GANDCRAB\20001228_124446.jpg.ojjvtfjee
10:04:12.0721 0x1848 Decryption success: \\?\Y:\test\GANDCRAB\20001228_124446.jpg.ojjvtfjee -> \\?\Y:\test\GANDCRAB\20001228_124446.jpg
10:04:12.0721 0x1848 Known suspicious file: \\?\Y:\test\GANDCRAB\20001228_124506.jpg.ojjvtfjee
10:04:12.0934 0x1848 Decryption success: \\?\Y:\test\GANDCRAB\20001228_124506.jpg.ojjvtfjee -> \\?\Y:\test\GANDCRAB\20001228_124506.jpg
10:04:12.0934 0x1848 Known suspicious file: \\?\Y:\test\GANDCRAB\20001228_124908.jpg.ojjvtfjee
10:04:13.0146 0x1848 Decryption success: \\?\Y:\test\GANDCRAB\20001228_124908.jpg.ojjvtfjee -> \\?\Y:\test\GANDCRAB\20001228_124908.jpg
10:04:13.0147 0x1848 Known suspicious file: \\?\Y:\test\GANDCRAB\20001228_124915.jpg.ojjvtfjee
10:04:13.0361 0x1848 Decryption success: \\?\Y:\test\GANDCRAB\20001228_124915.jpg.ojjvtfjee -> \\?\Y:\test\GANDCRAB\20001228_124915.jpg
10:04:13.0361 0x1848 Known suspicious file: \\?\Y:\test\GANDCRAB\20001228_124920.jpg.ojjvtfjee
10:04:13.0572 0x1848 Decryption success: \\?\Y:\test\GANDCRAB\20001228_124920.jpg.ojjvtfjee -> \\?\Y:\test\GANDCRAB\20001228_124920.jpg
10:04:13.0572 0x1848 Known suspicious file: \\?\Y:\test\GANDCRAB\20001228_124929.jpg.ojjvtfjee
10:04:13.0785 0x1848 Decryption success: \\?\Y:\test\GANDCRAB\20001228_124929.jpg.ojjvtfjee -> \\?\Y:\test\GANDCRAB\20001228_124929.jpg
10:04:13.0786 0x1848
10:04:13.0786 0x1848 Folder scan statistic (Y:\test\GANDCRAB):
10:04:13.0786 0x1848 Processed: 7
10:04:13.0786 0x1848 Found: 6
10:04:13.0786 0x1848 Decrypted: 6
10:04:13.0786 0x1848 ================================================================================
10:04:13.0786 0x1848 Scan finished
10:04:13.0786 0x1848 ================================================================================
10:10:21.0680 0x1b88 Deinitialize success
Специалисты «Лаборатория Касперского» представили бесплатные инструменты для дешифровки данных, пострадавших от атак Yatron и FortuneCrypt.
https://xakep.ru/2019/09/26/yatron-and-fortunecrypt/
Спустя почти месяц, исследователь безопасности и эксперт по Ransomware BloodDolly объявил, что был обнаружен метод, который может позволить жертвам получить ключ расшифровки их файла. Однако для этого исследователю понадобится пара зашифрованных файлов и их незашифрованные варианты.
https://www.bleepingcomputer.com/news/security/free-ouroboros-ransomware-zeropadypt-nextgen-decryption-available/
+ +
+
BitdefenderLabs выпустил расшифровщик для Ouroboros ransomware. Обратите внимание, что он работает только для файлов, зашифрованных с помощью .lazarus / .lazarus + extensions
p.s. в отличие от дешифратора BloodDolly, нет прогресс-бара, который показывает вероятное время вычисления ключа. Пара зашифрованный и чистый файл должны быть помещены в папку tested, размер дешифратора BD в 16Мб в отличие от 350к дешифратора BloodDolly.
https://labs.bitdefender.com/2019/10/ouroboros-ransomware-decryption-tool/
Emsisoft и Michael Gillespie выпустили расшифровщик для STOP Ransomware, который позволяет бесплатно расшифровывать файлы, зашифрованные 148 вариантами заражения.
Несмотря на то, что расшифровщик может восстанавливать файлы для 148 вариантов, следует отметить, что никому, кто был заражен после августа 2019 года, нельзя помочь данным дешифратором.
https://www.bleepingcomputer.com/news/security/stop-ransomware-decryptor-released-for-148-variants/
File: G:\DATA\shifr\encode_files\STOP\rumba\80my_test\crypted files\inf.txt.rumba
Decrypted: G:\DATA\shifr\encode_files\STOP\rumba\80my_test\crypted files\inf.txt
File: G:\DATA\shifr\encode_files\STOP\rumba\80my_test\crypted files\keygpg.rar.rumba
Decrypted: G:\DATA\shifr\encode_files\STOP\rumba\80my_test\crypted files\keygpg.rar
File: G:\DATA\shifr\encode_files\STOP\rumba\80my_test\crypted files\readme.txt.rumba
Decrypted: G:\DATA\shifr\encode_files\STOP\rumba\80my_test\crypted files\readme.txt
File: G:\DATA\shifr\encode_files\STOP\rumba\80my_test\crypted files\акт.pdf.rumba
Decrypted: G:\DATA\shifr\encode_files\STOP\rumba\80my_test\crypted files\акт.pdf
File: G:\DATA\shifr\encode_files\STOP\rumba\80my_test\crypted files\Правила поведения вахтеров.jpg.rumba
Decrypted: G:\DATA\shifr\encode_files\STOP\rumba\80my_test\crypted files\Правила поведения вахтеров.jpg
Finished!
https://www.propublica.org/article/the-ransomware-superhero-of-normal-illinois
Paradise Ransomware, впервые появившийся в 2017 году, активно продвигается как услуга для заинтересованных партнеров. После заражения он проверяет, установлен ли язык клавиатуры на русский, казахский, белорусский или украинский, и, если это так, выходит без шифрования. В противном случае он шифрует файлы и удаляет теневые копии, чтобы пользователь не мог их восстановить.
После шифрования отображается сообщение о выкупе:
Новый расшифровщик Bitdefender может восстанавливать следующие расширения файлов:
. FC, . 2ksys19, . p3rf0rm4, . Recognizer, . VACv2, . paradise, . CORP, .immortal, . exploit, . prt, . STUB, . sev, . sambo
https://labs.bitdefender.com/wp-content/uploads/downloads/paradise-ransomware-decryptor/
дешифратор от Emsisoft отработал корректно: был найден ключ, и выполнена расшифровка файла
Starting...
BitDefender:
Looking for pair of files ...
Found G:/DATA/shifr/encode_files/Paradise/fc/10/clean\KP4 Baru 2019 Asnanda DTPPHP.docx as clean file.
Found G:/DATA/shifr/encode_files/Paradise/fc/10/clean\KP4 Baru 2019 Asnanda DTPPHP.docx_Support_{JRo07C}.FC as encrypted file.
Looking for key ...
Key Found!
Searching for encrypted files ... [FOUND:6]
Testing decryption for 5 encrypted files:
Probing decryption on: [G:/DATA/shifr/encode_files/Paradise/fc/10/crypted\KP4 Baru 2019 Asnanda 1 DTPPHP.docx_Support_{JRo07C}.FC] ... [OK]
Probing decryption on: [G:/DATA/shifr/encode_files/Paradise/fc/10/crypted\KP4 Baru 2019 Asnanda 2 DTPPHP.docx_Support_{JRo07C}.FC] ... [OK]
Probing decryption on: [G:/DATA/shifr/encode_files/Paradise/fc/10/crypted\KP4 Baru 2019 Asnanda 3 DTPPHP.docx_Support_{JRo07C}.FC] ... [OK]
Probing decryption on: [G:/DATA/shifr/encode_files/Paradise/fc/10/crypted\KP4 Baru 2019 Asnanda 4 DTPPHP.docx_Support_{JRo07C}.FC] ... [OK]
Probing decryption on: [G:/DATA/shifr/encode_files/Paradise/fc/10/crypted\KP4 Baru 2019 Asnanda 5 DTPPHP.docx_Support_{JRo07C}.FC] ... [OK]
Decrypt Files ...
Decrypt [ 0] [G:/DATA/shifr/encode_files/Paradise/fc/10/crypted\KP4 Baru 2019 Asnanda 1 DTPPHP.docx_Support_{JRo07C}.FC] ... [OK]
Decrypt [ 1] [G:/DATA/shifr/encode_files/Paradise/fc/10/crypted\KP4 Baru 2019 Asnanda 2 DTPPHP.docx_Support_{JRo07C}.FC] ... [OK]
Decrypt [ 2] [G:/DATA/shifr/encode_files/Paradise/fc/10/crypted\KP4 Baru 2019 Asnanda 3 DTPPHP.docx_Support_{JRo07C}.FC] ... [OK]
Decrypt [ 3] [G:/DATA/shifr/encode_files/Paradise/fc/10/crypted\KP4 Baru 2019 Asnanda 4 DTPPHP.docx_Support_{JRo07C}.FC] ... [OK]
Decrypt [ 4] [G:/DATA/shifr/encode_files/Paradise/fc/10/crypted\KP4 Baru 2019 Asnanda 5 DTPPHP.docx_Support_{JRo07C}.FC] ... [OK]
Decrypt [ 5] [G:/DATA/shifr/encode_files/Paradise/fc/10/crypted\KP4 Baru 2019 Asnanda DTPPHP.docx_Support_{JRo07C}.FC] ... [OK]
Total decrypted files: [6]
Scan finished!
bleepingcomputer.com были первыми, кто сообщил о сравнительно новом вымогателе, называемом PwndLocker, который шифровал организации и города по всему миру, а затем требовал выкуп в размере от 175 000 до 660 000 долларов в зависимости от размера сети.
Проанализировав PwndLocker, Фабиан Восар из Emsisoft смог обнаружить слабое место в вредоносном ПО, которое позволяет жертвам восстанавливать свои файлы без уплаты выкупа.
https://www.bleepingcomputer.com/news/security/pwndlocker-ransomware-gets-pwned-decryption-now-available/
(Shade Ransomware shuts down, releases 750K decryption keys)
Операторы Shade Ransomware (Troldesh) прекратили свою деятельность, выпустили более 750 000 ключей дешифрования и принесли извинения за вред, нанесенный их жертвам.
Shade Ransomware работает с 2014 года. В отличие от других семей вымогателей, которые специально избегают шифрования жертв в России и других странах СНГ, Shade ориентирован преимущественно на людей в России и Украине.
По словам Майкла Гиллеспи, создателя ID Ransomware для идентификации сайта-вымогателя, представление, связанное с Shade Ransomware, было стабильным в течение многих лет до конца 2019 года, когда оно начало сокращаться.
Причина уменьшения количества представлений стала известна в эти выходные, когда операторы Shade Ransomware создали репозиторий GitHub и заявили, что прекратили распространение вымогателей в конце 2019 года.
Как часть этого заявления, операторы вымогателей приносят свои извинения за свои действия и предоставляют инструкции о том, как восстановить файлы, используя выпущенные ключи.
- говорится в сообщении на GitHub
https://www.bleepingcomputer.com/news/security/shade-ransomware-shuts-down-releases-750k-decryption-keys/
+
Sergey @k1k_ Golovanov:
27 апр.
#Shade #Troldesh #Encoder.858 #ransomware just dropped all keys to public https://github.com/shade-team/keys decryption tools will be available ASAP!
+
Лаборатория Касперского обновила дешифратор ShadeDecryptor.exe с учетом более полной базы ключей по всем вариантам.
breaking_bad
ytbl
heisenberg
better_call_saul
los_pollos
da_vinci_code
magic_software_syndicate
windows10
windows8
no_more_ransom
tyson
crypted000007
crypted000078
dexter
miami_california
rsa3072
decrypt_it
Bitdefender выпустил дешифратор для Ransom.Shade.
Техническое описание:
Этот инструмент восстанавливает файлы, зашифрованные Shade / Troldesh Ransomware. В то время как неопытному глазу может быть легко перепутать его с Crysis / Dharma Ransomware, Shade сильно отличается по нескольким причинам. Можно отличить это семейство и версию вымогателей по расширению, которое он добавляет к зашифрованным файлам, примерно по 10 аналогичным примечаниям о выкупе или по названию зашифрованных файлов (base64):
Идентификаторы пользователей, необходимые для сопоставления ключей, также можно найти в зашифрованных именах файлов для большинства подверсий вымогателей. Для более старых версий вредоносного ПО идентификатор можно восстановить из записок с требованием выкупа или путем грубой форсировки ограниченного набора выпущенных ключей.
По умолчанию вредоносное ПО поставляется с некоторыми открытыми ключами RSA3072, которые используются для шифрования файлов, если ни один сервер не отвечает в течение нескольких часов. Авторы выпустили полный набор ключей шифрования, используемых во всех версиях вредоносных программ, в общедоступном хранилище Github.
В то время как жертвы, чьи системы могли успешно подключаться к серверу, имели бы собственные ключи шифрования, те, кто был заражен без активного подключения, были бы зашифрованы с помощью жестко закодированных открытых ключей RSA.
Набор динамически генерируемых ключей и загружаемых на серверы владельцев вымогателей занимает до 1,8 ГБ (~ 749 КБ), статические поставляемые закрытые ключи имеют размер всего 1,6 КБ и не превышают 4 МБ.
Наш инструмент дешифрования способен на лету идентифицировать соответствующие ключи, кэшировать их и применять быстрее при последующих попытках дешифрования. Инструмент не требует никаких дополнительных данных от пользователя для его расшифровки. Требуется активное подключение к Интернету для вычисления динамических ключей, если файлы были заражены в режиме онлайн.
https://labs.bitdefender.com/2020/05/shade-troldesh-ransomware-decryption-tool/
https://labs.bitdefender.com/wp-content/uploads/downloads/shade-troldesh-decryption-tool/
p.s.
есть проблема с расшифровкой старых версий (xtbl), без идентификатора в заголовке файла.
ЛК решает эту проблему путем запроса записки о выкупе README.TXT
+
проблема с расшифровкой и на новых версиях Ransom.shade с идентификатором в имени файла.
Update:
обновился инструмент. Теперь все отлично работает!
=====
Update+
ESET обновил версию дешифратора,
однако, дешифратор предоставляется вместе с отдельным ключом для каждого случая шифрования.
Update++
Аваст так же выпустил дешифратор для Ransom/Troldesh
https://files.avast.com/files/decryptor/avast_decryptor_troldesh.exe
расшифровка идет от найденного файла readme*.txt. В том случае если файл найден,
по строке идентификатора ключ находится в сетевой базе и расшифровка выполняется корректно.
Расшифровка Cryakl\CryLock 1.9.0.0
Alex Svirid:
Decrypter for CryLock (ex-Cryakl) 1.9.0.0 available now.
Victims may contact me for free decryption.
DarkSide - известен августа 2020 года и нацелен на предприятия.
В период с октября по декабрь 2020 года в операции наблюдался всплеск активности, когда количество представленных образцов DarkSide на платформе ID-Ransomware увеличилось более чем в четыре раза.
https://labs.bitdefender.com/2021/01/darkside-ransomware-decryption-tool/
https://www.bleepingcomputer.com/news/security/darkside-ransomware-decryptor-recovers-victims-files-for-free/
Операторы Fonix Ransomware прекратили свою работу и выпустили главную расшифровку, позволяющую жертвам бесплатно восстанавливать свои файлы.
Программа-вымогатель Fonix, также известная как Xinof и FonixCrypter, начала свою работу в июне 2020 года и с тех пор постоянно шифрует жертв. Операция вымогателя не была такой активной, как другие, такие как REvil, Netwalker или STOP, но начиная с ноября 2020 года она немного выросла, как показано в представленных ниже ID Ransomware.
Сегодня днем пользователь Twitter, утверждающий, что является администратором программы-вымогателя Fonix, объявил, что программа-вымогатель закрылась.
Сообщение, представленное на изображении:
Мастер-ключи работают, дешифратор - беспорядок
В другом твите администратор Fonix поделился ссылкой на архив RAR под названием «Fonix_decrypter.rar», содержащий как дешифратор, так и главный закрытый ключ дешифрования.
Расшифровщик, выпущенный сегодня вечером, является инструментом операторов Fonix Ransomware при выполнении этой бесплатной тестовой расшифровки и не позволяет жертве расшифровать весь компьютер.
Хорошая новость заключается в том, что Michael Gillespie сообщил BleepingComputer, что главные ключи работают, но только с некоторыми версиями вымогателей Fonix.
+
дешифратор Emisosft расшифрует все версии вымогателя, включая зашифрованные расширения файлов .Fonix, .FONIX, .repter, .XINOF.
Решение будет доступно в ближайшее время.
https://www.bleepingcomputer.com/news/security/fonix-ransomware-shuts-down-and-releases-master-decryption-key/
Fonix ransomware отказывается от криминальной деятельности и приносит свои извинения
Впервые Fonix был замечен в середине 2020 года, но привлекать внимание он начал только в сентябре-октябре того же года. Считается, что он имеет иранское происхождение. Известно, что он использует четыре метода шифрования - AES, Salsa20, ChaCha и RSA, но поскольку он шифрует все некритические системные файлы, он медленнее по сравнению с другими предложениями RaaS.
Зашифрованные файлы обычно имеют расширения .FONIX и .XINOF (Fonix в обратном порядке); однако также использовалось расширение .repter. (5ef2a211e48b408b0e5c9dfac30683e8f7eb83231c11e25c01368b0ef1868ea1)
https://blog.malwarebytes.com/ransomware/2021/02/fonix-ransomware-gives-up-life-of-crime-apologises/
Шифровальщик FonixCrypter был активен как минимум с июня 2020 года. По информации российского ИБ-специалиста Андрея Иванова, вредонос регулярно обновлялся, и в прошлом году было выпущено как минимум семь различных вариантов FonixCrypt.
https://xakep.ru/2021/02/01/fonixcrypter/
(один из используемых ключей посвящен Michael Gillespie:
Доп. информация на момент обновления списка
SHA1 4ADEC84275A057A4919964AD7B9F5D2F2FBA7949
MD5 72DCDED99BE621C87A6EC058BD9101A3
Ссылки на объект
Ссылка C:\WINDOWS\SYSTEM32\TASKS\FONIX
Ссылка C:\WINDOWS\SYSTEM32\TASKS\FONIX10
Ссылка C:\WINDOWS\SYSTEM32\TASKS\FONIX11
Ссылка HKLM\uvs_software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\Michael Gillespie
Michael Gillespie C:\ProgramData\XINOF.exe
Ссылка HKLM\uvs_software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\Michael Gillespie
Michael Gillespie C:\ProgramData\XINOF.exe
Ссылка HKLM\esrvijaxf\Software\Microsoft\Windows\CurrentVersion\RunOnce\Michael Gillespie
Michael Gillespie C:\ProgramData\XINOF.exe
Ссылка HKLM\esrvijaxf\Software\Microsoft\Windows\CurrentVersion\Run\Michael Gillespie
Michael Gillespie C:\ProgramData\XINOF.exe
Ссылка HKLM\uvdwpaufk\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\C:\PROGRAMDATA\XINOF.EXE
пример расшифровки:
Расшифровка FonixRansomware
1. Хорошая новость заключается в том, что если вы были заражены FonixRansomware, теперь вы можете бесплатно расшифровать свои файлы с помощью обновленной версии Kaspersky RakhniDecryptor.
18:44:29.0176 0x0df4 Initialize success
18:45:18.0461 0x051c Number of worker threads: 2
18:45:48.0837 0x051c File path: Z:\test\fonix\lk\ecrypted\4.3.2\keygpg.rar.Email=[[email protected]]ID=[D45CE646].XINOF
18:45:53.0495 0x051c Fonix: found key file: \\?\Z:\test\fonix\lk\ecrypted\4.3.2\Cpriv.key
18:45:53.0619 0x051c Fonix: key file decrypted: \\?\Z:\test\fonix\lk\ecrypted\4.3.2\Cpriv.key
18:45:53.0638 0x051c Password recovered
18:45:53.0919 0x051c Folder scan statistic (Z:\test\fonix\lk\ecrypted\4.3.2):
18:45:53.0919 0x051c Processed: 12
18:45:53.0919 0x051c Found: 11
18:45:53.0919 0x051c Decrypted: 11
18:45:53.0919 0x051c ================================================================================
18:45:53.0919 0x051c Scan finished
18:45:53.0919 0x051c ================================================================================
update1:
часть файлов для версии XINOF/4.3.2шифруется с расширением FONIX
update2:
более ранний варинт Fonix -".repter", RakhniDecryptor расшифровать пока не может.
[Apr, 1, 2019] - Version: 1.0.0.10
Emsisoft Decryptor for Aurora
Aurora is a ransomware family that encrypts files using XTEA and RSA, and may also be known as "Zorro", "Desu", or "AnimusLocker". Known extensions include ".Aurora", ".aurora", ".animus", ".ONI", ".Nano", ".cryptoid", ".peekaboo", ".isolated", ".infected", ".locked", ".veracrypt", ".masked", ".crypton", ".coronolock", ".bukyak", ".serpom", and ".systems32x".
The malware leaves many ransom notes, examples include "!-GET_MY_FILES-!.txt", "#RECOVERY-PC#.txt", and "@[email protected].txt"
https://www.emsisoft.com/ransomware-decryption-tools/aurora