Teslacrypt: файлы зашифрованы с расширением .EZZ

Konstantin · July 2016

Поймали троян и все файлы зашифрованы в тип .EZZ. Универсальный ключ, выложенный здесь на сайте не помог. Нашёл файл RECOVERY_FILE.TXT, но он весом 230 байт и при вводе в Teslaviewer пишет, что файл повреждён...

Konstantin · July 2016

Случилось в мае прошлого года. Файлы были сохранены. После этого винду переустановили и разбили на части жёсткий диск.

safety · July 2016

Здравствуйте,

Универсальный ключ

440A241DD80FCC5664E861989DB716E08CE627D8D40C7EA360AE855C727A49EE

работает только с новыми версиями Teslacrypt: .xxx, .ttt., .micro, as original

и поскольку информация о ключе не содержится в зашифрованных файлах для данного варианта Teslacrypt (.EZZ):

Format of encrypted file (.ecc, ezz)
************************************
offset size Description
0x000 16 initialization vector for AES (random data)
0x010 4 Size of original files
<encrypted data>

извлечь данные для вычисления ключа можно только из key.dat

key.dat (752B) (.ecc, .ezz)
Location of data file on disk: %appdata%\key.dat [752 bytes]
***************************
offset size Description
0x000 34 Bitcoin address
0x064 32 PublicKey X coordinate
0x084 128 RecoveryKey in hex; RecoveryKey = SharedSecret * PrivateKey
0x148 64 64B of pseudorandom data (2nd buffer; used only for randomization of 1024B random buffer)
0x18A 16 SYSTEMTIME
0x19A 32 32B of pseudorandom data (1st buffer; this buffer is zeroed out when PrivateKey is generated)
0x1DB 32 PrivateKey (32B of pseudorandom data (3rd buffer); this buffer is zeroed out when encryption is done and wallpaper is set)
0x2E0 8 Time64
0x2E8 4 DEADBEAF is set when ShadowCopy was deleted
0x2EC 4 Set to 1 when PrivateKey was generated

или из файла восстановления RECOVERY_KEY.TXT/RECOVERY_FILE.TXT

RECOVERY_KEY.TXT/RECOVERY_FILE.TXT (232B) (.ecc, .ezz, .exx, .xyz)
Location of recovery file: %mydocuments%\RECOVERY_KEY.TXT
1st line> Bitcoin address
2nd line> PublicKey X coordinate
3rd line> RecoveryKey = SharedSecret * PrivateKey

дайте ссылку на ваш файл RECOVERY_FILE.txt. (можно добавить на sendspace.com)

или вышлите его в почту [email protected]

Konstantin · July 2016

Здравствуйте, только что отправил вам на ящик.

safety · July 2016

получил.
нет ли других копий этого файла? recovery_key.txt например? и вышлите в почту несколько зашифрованных файлов.

Konstantin · July 2016

к сожалению ничего больше не смог найти. Компьютер принадлежит моей сестре и все операции были произведены без меня. Я отправил вам все файлы, которые смог найти.

Konstantin · July 2016

Отправил на почту

safety · July 2016

да, получил все.

судя по размеру, не хватает одного-двух последних байт в RECOVERY_FILE.txt для того чтобы на 100% можно было получить информацию для вычисления ключа. Если конечно именно последних, а не произвольных двух. Попытаюсь восстановить или вычислить два последних символа, если это возможно.

Konstantin · July 2016

Буду очень благодарен!

safety · July 2016

шанс есть конечно,
в том случае, если в RECOVERY_FILE.txt недостает именно двух последних символов, а не произвольных (в третьей строке).

14hruvkBFKSfeu5kiAw3uLkghfWQGRkkYb
654F44E105557C05F59B9089DBD2C75840954BE22AB6B7D79DEAF21638C6ED75
519C7A950B1D4AFC71B411A161DD945C55DEB1A1E16D1594F2746EBB950351959007BA03CDBC6441B46109D96BD1B543E6D363BAE674B9CB134A4C1BC4E03D

Если есть зависимость между Bitcoin address, PublicKeyBC и SharedSecret1*PrivateKeyBC, можно будет восстановить значение SharedSecret1*PrivateKeyBC, факторизовать его и по результату вычислить ключ. Если нет такой зависимости, придется использовать перебор с добавлением двух последних символов от 00 до FF, вычислять соответствующее десятичное значение SharedSecret1*PrivateKeyBC, затем факторизовать это значение, и проверять возможность получение ключа в TeslaRefactor. Число сочетаний( с повторением элементов: 00, 11, 22,... FF) из 16 по 2=(16+2-1)!/(2!*(16-1)!)=16*17/2=136.

уточнение согласно комбинаторике:

Теорема. Число всевозможных размещений с повторениями из n элементов по k равно n^k.

т.е. всего вариантов будет 256.!
Возможно, повезет на быстрых ключах.

Без везения просчитать все эти варианты будет невозможно.

(осталось 103 варианта).

00,01,02,03,04,05,06,07,08,09,0A,0B,0C,0D,0E,0F;
10,11,12,13,14,15,16,17,18,19,1A,1B,1C,1D,1E,1F;
20,21,22,23,24,25,26,27,28,29,2A,2B,2C,2D,2E,2F;
30,31,32,33,34,35,36,37,38,39,3A,3B,3C,3D,3E,3F;
40,41,42,43,44,45,46,47,48,49,4A,4B,4C,4D,4E,4F;
50,51,52,53,54,55,56,57,58,59,5A,5B,5C,5D,5E,5F;
60,61,62,63,64,65,66,67,68,69,6A,6B,6C,6E,6D,6F;
70,71,72,73,74,75,76,77,78,79,7A,7B,7C,7D,7E,7F;
80,81,82,83,84,85,86,87,88,89,8A,8B,8C,8D,8E,8F;
90,91,92,93,94,95,96,97,98,99,9A,9B,9C,9D,9E,9F;
A0,A1,A2,A3,A4,A5,A6,A7,A8,A9,AA,AB,AC,AD,AE,AF;
B0,B1,B2,B3,B4,B5,B6,B7,B8,B9,BA,BB,BC,BD,BE,BF;
C0,C1,C2,C3,C4,C5,C6,C7,C8,C9,CA,CB,CC,CD,CE,CF;
D0,D1,D2,D3,D4,D5,D6,D7,D8,D9,DA,DB,DC,DD,DE,DF;
E0,E1,E2,E3,E4,E5,E6,E7,E8,E9,EA,EB,EC,ED,EE,EF;
F0,F1,F2,F3,F4,F5,F6,F7,F8,F9,FA,FB,FC,FD,FE,FF;

safety · August 2016

}{м,
не зря мне вчера в автобусе выпал счастливый билет (885558), сегодня я расшифровал Ваш архив с файлами. подробности будут в почте.

Konstantin · August 2016

Нас это очень радует!!! Отправил ещё несколько фотографий.

safety · August 2016

Хорошо, все расшифровано.

. Ключ и инструкцию ждите в почте.

Привет, незнакомец!

Быстрые ссылки

Разделы

In this Discussion

Teslacrypt: файлы зашифрованы с расширением .EZZ

Комментарии