Как восстановить файлы после Trojan-Ransom.Win32.Rector?

Question

[Дмитрий Айткулов]

Добрый день. Стоял себе сервачег под 1с 7.7 со статическим IP и все было хорошо до вчерашнего вечера. Ломанули сервак и занесли троянца Trojan-Ransom.Win32.Rector (такое название выдал RectorDecryptor от касперского). На карантине висит с таким вот именем На карантине троянская программа HEUR:Trojan.Win32.Generic (модификация) После чего появились длинные названия у файлов "id-{TFPBOYJUFQAKWGRBOXHSCNYJUEQAMWHRCNXI-04.07.2014 2@59@541656009}-email-madeled@mail.ru.cbf". На сервере стоит антивирь касперского 6 версии с просроченной лицензией для сервера и винда 2008 SP2. Сам вредный exe файл антивирь загнал на карантин но все же что то он успел повредить. В техподдержку DRWeb написать не могу потому что нету корпоративной лицензии. Была как то аналогичная проблема тут но она благополучна решена была. Ребят кто сталкивался с данной проблемой поделитесь решением? Может кто нить знает ключи для запуска дешифровщика от др вэба? Или у кого нить есть корп лицензия для создания запроса в тех поддержку? Буду рад любой помощи. Заранее всем спасибо.

Comments

[Дмитрий Айткулов]

восстановил файл виря из карантина и протестил CureIT название вышло trojan.encoder.567 гугл пока ничего не знает(

[mike_1]

@Scarfase1989 Выложите на rghost в архиве 5 зашифрованных файлов. + В этот архив добавьте хотя бы одну копию незашифрованного файла.

Answer 1

[glGizma]

Отправляйте мне файл, который закодирован, попробую чёнить сделать! glGizma@yandex.ru

Answer 2

[Дмитрий Айткулов]

обновленные файлы Вот в архиве зараженные файлы и файлы которые смог расшифровать один хороший человек, но нужен скрипт а то просить расшифровать все файлы как то стыдно

Comments

[mike_1]

Нужна хотя бы одна пара шифрованный/не шифрованный одинаковых файлов.

[Дмитрий Айткулов]

увы нету такой все зашифровал и даже бэкапы(

[mike_1]

Без такой пары дешифровка невозможна. Нужен хотя бы один файл из такой пары. У вас Trojan-Ransom.Win32.Cryakl.n

[Дмитрий Айткулов]

нужен идентичный файл? или с разными данными пойдет?

[mike_1]

Да нужен идентичный файл. Пара шифрованный/не зашифрованный. С разными данными не подойдет.

[Дмитрий Айткулов]

откуда мне взять незашифрованый файл если нужные мне данные все зашифрованы?

[mike_1]

Если нет такой пары файлы не получится расшифровать. А для теста дешифратора нужна такая пара.

[Дмитрий Айткулов]

ну звучит как то бредово - дай то чего нет?!

[mike_1]

Другого решения нет. virusinfo.info/showthread.php?t=158883

[Дмитрий Айткулов]

Страный дешифратор даже если взять уже расшифрованый файл и сравнить с зашифрованым то получается все равно разный размер файлов, как то это не правильно

[slavatsoy3]

У меня есть два файла, зашифрованный и оригинальный. только толку то от этого? др вебовская утилита не хочет работать из-за разницы в размерах файла.

[Илья Плотников]

Удалось найти решение? Может человек, который смог расшифровать файлы подскажет алгоритм?

[Дмитрий Айткулов]

@ilyaplot нашел старый бэкап базы, и начали работать там, а на остальное забили. Вот и все решение

[Илья Плотников]

@Scarfase1989 К сожалению, у нас такая возможность отсутствует. Не могли бы вы посодействовать в поиске алгоритма? Я буду материально благодарен

[Дмитрий Айткулов]

Он все равно коряво дешифровал 1с базу, но все равно напишите свой емаил я переговорю с человеком может договоритесь))

[Илья Плотников]

ilyaplot@gmail.com Спасибо!

Answer 3

[slavatsoy3]

Такая же беда.
Файлы 1С удалось восстановить прогой getdata back.
а вот расшифровки пока не нашел. Утилиты от касперского и dr Web не помогают.
подскажите как вы расшифровали данные?

Хотя бы часть фалов в ручную бы открыть.

Comments

[Дмитрий Айткулов]

"Файлы 1С удалось восстановить прогой getdata back" .dbf файлы удалось восстановить?

[slavatsoy3]

у 1с восстановил .1CD, .dbf не искал. возможно и были.

[Дмитрий Айткулов]

ну 1CD я тоже восстановил 1с тулзой. Лан спасиб ждем Др Вэба.

[slavatsoy3]

какой из 1с тулзой?

[mamudputin]

осталось добить файлы exel даааааааааааа беда

[Дмитрий Айткулов]

для восстановления физической целостности chdbfl.exe удалил рашифрованое расширение и прогнал на тест. Он сказал что поврежденна какая та таблица и восстановленно 2300 записей и все база запустилась

[mamudputin]

та да но как же то что в ексельках ?

[slavatsoy3]

получается восстановить часть данных из екселя, разными программа по восстановлению файлов экселя, или онлайн https://online.officerecovery.com/ru/excel/, но не все

Answer 4

[mamudputin]

вообщем так у др. веб лечение есть ! тока как им пользоваться ???? просто просит файлы битый \ не битый а у них разный размер и всё тут - они то знают но молчат и............... вот скажите мне чем эти работники отличаются от вымогателей ? есть предположение что это они сами и есть ! прога 567 называется у них просить толку нет и другим запрещают помогать тем кому помогли ???

Comments

[slavatsoy3]

информация не проверенная я так понял. и работает или нет эта приблуда не понятно

[Дмитрий Айткулов]

Ну хороший вопрос как найти битый и не битый файл, если файлы зашифроывны))) мистика

[slavatsoy3]

да дело то в том что они битый или нет. Размеры исходного и зашифрованного файла не совпадают. поэтому др вебовская утилита даже стартовать не хочет. У меня есть оригинал (сохранился на почте) и зашифрованный. только толку нет

[Дмитрий Айткулов]

Печально печально((

[slavatsoy3]

а кто и как разшифровал файлы в архиве выше?

[Дмитрий Айткулов]

Да днях купим корп люцензию Др вэба и будем моск ТП выносить

[mamudputin]

да они жадины !!!

[Дмитрий Айткулов]

Ну с корп лицензией я думаю подобреют

[mamudputin]

да они сами и есть вымогатели !! сколько стоит эта корп лицензия ?

[Дмитрий Айткулов]

смотря скок ПК и серверов, но в два раза дешевле чем каспер, который вообще ничего не может расшифровать

[slavatsoy3]

дешевле 1000$ точно.

[mamudputin]

да сколько бы он не стоил - это по сути то же вымогательство и давно пора натравить на них отдел К ! пусть разберутся от куда берутся и кем за деньги лечатся !

[Дмитрий Айткулов]

дааа ребят, так то тоже незя там тоже ребята работают и тоже кушать хотят и вообще эта тема не о том как кого бородонули, а кто какие инструменты применил для решения проблемы

[slavatsoy3]

Как запустить приблуду от др Вэба ктонть придумал? Посмотрел файлы, в редакторе. меняется начало, середина и конец, плюс добавляется какая-доп инфа, полагаю с ID

[mamudputin]

ну не работает она ! отредактировал так что бы размер совпадал И ..НИЧЕГО таже фигня

[slavatsoy3]

Есть какие нибудь новости?

[Дмитрий Айткулов]

Файлы зашифрованы одной из разновидностей Trojan.Encoder.567

Мы смогли найти способ расшифровки, но он, к сожалению, применим только в некоторых частных случаях.
Т.е. какие-то файлы получится расшифровать, какие-то нет.
Шансы на расшифровку будут у файлов достаточно большого размера, и содержавших в оригинале достаточно протяженные блоки повторяющихся байтов.
Такими свойствами могут обладать, например, файлы форматов doc/xls/1CD
Такой ответ дали ТП в данный момент производится расшифровка файлов по окончанию результат отпишусь

[slavatsoy3]

Получается, вручную они смогут, и только для тех у кого есть оф лицензия на бизнес версию? :) както не весело получается и тузлы не будет

[Дмитрий Айткулов]

да как то так, кто платит тот и заказывает музыку

[slavatsoy3]

ну в любом случае, давайте знать что да как прошло :)

[Дмитрий Айткулов]

Ну скрипт пахал всю ночь, выдал что расшифровал что то, но чет .dbf файлы расшифровались ппц коряво. Сижу в ручную правлю к вечеру отпишусь что да как

[slavatsoy3]

А что за скрипт?

[Дмитрий Айткулов]

программа для дешифровки высланная Др Вэбом

[slavatsoy3]

я вот даже и не знаю.... мне бы то же ее как-то посмотреть, только вот не знаю, распространение ее может караться наверное?

[Дмитрий Айткулов]

пока я от нее толк не увидел, так что...

[slavatsoy3]

мда, это еще печальней

[mamudputin]

скиньте мне эту прогу прошу а то я им написал личуху купил и что то долго ждать

[mamudputin]

@Scarfase1989 скинь на почту mamud1980@mail.ru

[slavatsoy3]

Какие новости?

[Дмитрий Айткулов]

безрезультатно