Счастливые владельцы зашифрованных файлов могут получить обратно свои ключи/файлы....

13»

Комментарии

  • отредактировано 19 сен PM
    Kaseya получила универсальный дешифратор для жертв вымогателя REvil

    Kaseya получил универсальный дешифратор, который позволяет жертвам атаки вымогателя REvil от 2 июля восстанавливать свои файлы.
    2 июля операция вымогателя REvil начала массовую атаку, используя уязвимость нулевого дня в приложении удаленного управления Kaseya VSA для шифрования примерно шестидесяти поставщиков управляемых услуг и примерно 1500 предприятий.

    После атаки злоумышленники потребовали 70 миллионов долларов за универсальный дешифратор, 5 миллионов долларов за MSP и 40 000 долларов за каждое расширение, зашифрованное в сети жертвы.

    Вскоре после этого REvil таинственным образом исчезла, а злоумышленники закрыли свои платежные сайты и инфраструктуру.

    Сегодня Kaseya заявила, что они получили универсальный дешифратор для атаки программ-вымогателей от «доверенной третьей стороны» и теперь распространяют его среди пострадавших клиентов.

    «Мы можем подтвердить, что получили дешифратор от доверенной третьей стороны, но больше не можем делиться информацией об источнике», - сказала BleepingComputer Дана Лидхольм, старший вице-президент по корпоративному маркетингу Kaseya.

    «У нас есть инструмент, проверенный дополнительной третьей стороной, и мы начали выпускать его среди затронутых нами клиентов».

    Хотя Kaseya не стал делиться информацией об источнике ключа, они подтвердили, что это универсальный ключ дешифрования для всей атаки, позволяющий всем MSP и их клиентам бесплатно дешифровать файлы.

    Технический директор Emsisoft Фабиан Восар сказал BleepingComputer, что они были третьей стороной, которая проверила ключ и продолжит помогать Kaseya в их усилиях по восстановлению.

    https://www.bleepingcomputer.com/news/security/kaseya-obtains-universal-decryptor-for-revil-ransomware-victims/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 18 сен PM
    SynAck Ransomware выпускает ключи дешифрования

    Группа SynAck выпустила главные ключи дешифрования для своей работы после ребрендинга в новую группу El_Cometa.

    Сегодня SynAck выпустила мастер-ключи, дешифратор и руководство по использованию мастер-ключей и поделилась ими на своем сайте утечки данных.

    После получения ключей Майкл Гиллеспи подтвердил, что ключи являются законными и сообщил, что будет дешифратор SynAck, чтобы жертвы могли бесплатно восстановить свои файлы.

    Технический директор Emsisoft Фабиан Восар сообщил, что архив содержит в общей сложности шестнадцать главных ключей дешифрования.

    https://www.bleepingcomputer.com/news/security/synack-ransomware-releases-decryption-keys-after-el-cometa-rebrand/

    upd:1:
    активность:
    Виден огромный всплеск активности SynAck

    По словам жертв, которые обращались за помощью на форумах поддержки программ-вымогателей Bleeping Computer и из сообщений в службу ID-Ransomware, за последние два дня возросла активность относительно неизвестного штамма вымогателя SynAck.

    Этот конкретный штамм вымогателя, названный SynAck или Syn Ack, был впервые обнаружен 3 августа (2017г), и эксперты быстро определили, что они рассматривают совершенно новый штамм вымогателя в целом.

    https://www.bleepingcomputer.com/news/security/synack-ransomware-sees-huge-spike-in-activity/
    upd:2:
    Целевая вымогательская кампания SynAck использует технику Doppelgänging
    программа-вымогатель SynAck, известная с сентября 2017 года (тогда это был обычный зловред, не отличавшийся особыми умом и сообразительностью), недавно прошла серьезную модернизацию. Теперь она научилась избегать обнаружения с невероятной эффективностью и использует новую технику маскировки процессов — клонирование.
    https://securelist.ru/synack-targeted-ransomware-uses-the-doppelganging-technique/89900/

    Upd:3:
    Emsisoft выпустила дешифратор для программы-вымогателя SynAck, позволяющий жертвам бесплатно расшифровывать свои зашифрованные файлы.



    SynAck начала свою деятельность в 2017 году, но в 2021 году была переименована в El_Cometa.

    https://www.bleepingcomputer.com/news/security/synack-ransomware-decryptor-lets-victims-recover-files-for-free/

    Update4: тестирование работы дешифратора:

    97hfy7865h2i.jpg

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 18 сен PM
    Ragnarok выпускает дешифратор с встроенным мастер-ключом после завершения работы

    Похоже, что Ragnarok объявила о закрытии и выпустила главный ключ, который может расшифровать файлы, заблокированные их вредоносным ПО.

    zlmra6r911ou.jpg

    Злоумышленник не оставил записки с объяснением этого шага и внезапно заменил всех жертв на их сайте утечки короткой инструкцией о том, как расшифровать файлы.

    dkhhc4jmici6.png

    Эксперт по программам-вымогателям Майкл Гиллеспи сообщил, что выпущенный сегодня дешифратор Ragnarok содержит главный ключ дешифрования.

    Универсальный дешифратор для программы-вымогателя Ragnarok в настоящее время находится в разработке и вскоре будет выпущен компанией Emsisoft, известной своей помощью в расшифровке данных жертвам программ-вымогателей.

    Ragnarok существует по крайней мере с января 2020 года и заявила о десятках жертв после того, как в прошлом году попала в заголовки об использовании уязвимости Citrix ADC.

    Ragnarok - не единственная кибергруппа, выпустившая ключ дешифрования в этом году

    Ziggy прекратила работу в феврале, и ее оператор поделился файлом с 922 ключами
    В мае Conti предоставил ВШЭ Ирландии бесплатный дешифратор.
    Avaddon закрылась в июне и выпустила ключи дешифрования
    SynAck, переименованная в El_Cometa, выпустила главные ключи дешифрования как часть этого перехода

    https://www.bleepingcomputer.com/news/security/ragnarok-ransomware-releases-master-decryptor-after-shutdown/

    https://id-ransomware.blogspot.com/2020/01/ragnarok-ransomware.html

    update: дешифратор:

    zdsxvju1phup.jpg

    upd:2:

    пока не удалось протестировать дешифратор. "молчит" после запуска, малоинформативный. файл key.ini пересоздается после запуска decode_deviceID.exe. в key.ini сохраняется сессионный ключ и вектор инициализации. EXT для расшифровки необх указывать самостоятельно.

    z5czhnwkxql6.jpg

    upd:3:


    [27 августа 2021 г.] - Версия: 1.0.0.0
    Emsisoft Decryptor для Ragnarok

    Программа-вымогатель Ragnarok шифрует файлы жертвы с помощью AES-256 и RSA-4096, добавляя расширение «..thor» или «..hela».

    Чтобы расшифровать ваши файлы, вам нужно будет предоставить дешифратору записку с требованием выкупа.
    Обратите внимание, что из-за ошибки в более ранней вредоносной программе расширения «.ragnarok» и «.ragnarok_cry» в настоящее время не могут быть расшифрованы.

    https://www.emsisoft.com/ransomware-decryption-tools/ragnarok

    p.s. *.rgrk тоже не расшифровывается

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 4 окт PM
    Выпущен бесплатный главный дешифратор для REvil, позволяющий всем жертвам, зашифрованным до исчезновения кибергруппы, бесплатно восстанавливать свои файлы.

    Bitdefender не смог поделиться подробностями о том, как они получили главный ключ дешифрования или о задействованных правоохранительных органах, они сообщили BleepingComputer, что он работает
    для всех жертв REvil, зашифрованных до 13 июля.

    «Согласно нашему сообщению в блоге, мы получили ключи от надежного партнера из правоохранительных органов, и, к сожалению, это единственная информация, которую мы вправе раскрыть прямо сейчас», - сказал BleepingComputer директор по исследованию угроз и отчетности Bitdefender Богдан Ботезату.

    «Как только расследование продвинется и подойдет к концу, после утверждения будут предложены дальнейшие подробности».

    Жертвы программы-вымогателя REvil могут загрузить мастер-дешифратор из Bitdefender (инструкции) и расшифровать полностью компьютер сразу или указать определенные папки для дешифрования.

    Чтобы протестировать дешифратор, BleepingComputer зашифровал виртуальную машину с помощью образца REvil, который использовался в атаке в начале этого года. После шифрования наших файлов мы могли бы использовать дешифратор Bitdefender, чтобы легко восстановить наши файлы, как показано ниже.

    https://www.bleepingcomputer.com/news/security/free-revil-ransomware-master-decrypter-released-for-past-victims/

    upd:1 да, работает расшифровка по другим случаям, отличным от Kassya, в том числе и по файлам для Кассии. (собственно, расшифровываются практически все варианты, до апреля 2019 года)

    xgzx7pro87ba.jpg

    This utility decrypts files encrypted by REvil ransomware.
    This tool requires internet access!
    NOTE: Certain versions of REvil are not yet decryptable.

    Found the ransom note: Z:\test\revil\wy32wlj-readme.txt
    Sending init request.
    Done.
    Sending intermediate request.
    Done.

    Decrypt Files ...

    Decrypt [ 0] [G:\DATA\shifr\encode_files\Revil\SZ\kor_boot.ttf.wy32wlj] ... [OK]
    Decrypt [ 1] [G:\DATA\shifr\encode_files\Revil\SZ\memtest.exe.wy32wlj] ... [OK]
    Sending finish request.
    Done.

    Total decrypted files: [2]

    upd:2 с учетом комментария Ф.Восара:
    "REvil представил режим шифрования, который вызывает проблемы с инструментом дешифрования между 2020-01-15 и 2020-2-11. Основываясь на случаях, которые я обработал, и образцы, загруженные в VT с тех пор, я оцениваю, что от 10% до 15% всех жертв будут затронуты"
    возможно, инструмент расшифровки будет обновлен в ближайшее время

    upd:3
    Ф.Восар:
    "Похоже, Bitdefender обновил свой инструмент. Они не только изменили свои настройки по умолчанию, чтобы теперь создавать резервные копии, если они не отключены, но также добавили поддержку третьего режима шифрования REvil, представленного в начале 2020 года. Хорошая работа!:)"

    upd:4 BitDefender очень внимательны к замечаниям и исправлениям дешифраторов.
    теперь расшифровка возможна и для раннего формата записок о выкупе.
    Found the ransom note: G:\DATA\shifr\encode_files\Revil\app.any.run more\29.04.19\test\6d4q6r3o-HOW-TO-DECRYPT.txt
    Sending init request.
    ... Total decrypted files: [2]
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.