Очередная реинкарнация вируса-вымогателя

Question

[Sergey]

Обратился ко мне товарищ за помощью. У него был сервер c Win2003, где крутилась терминалка с 1с, туда кто-то из пользователей занес криптователя-зловреда.
Антивирус установлен Eset 4, он очухался в какой-то момент (видимо) почистил зловреда, но вот DBF-файлы (и некоторые другие) остались зашифрованы, каждому зашифрванному файлу добавлено расширение - dalexf.11111@yandex.ru. Очевидно, что это ящик вымогателя.
Я пробовал декрипторы от Eset (ESETFilecoderQCleaner) и Kaspersky (RectorDecryptor и XoristDecryptor) - безрезультатно.
Кто-нибудь еще с этой вариацией встречался? Поиск по ящику ничего не дает, файл "КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt" содержит недоделанный текст:

Внимание! Все Ваши файлы зашифрованы!
Чтобы восстановить свои файлы и получить к ним доступ,
отправьте смс с текстом XXXX на номер YYYY

У вас есть N попыток ввода кода. При превышении этого
количества, все данные необратимо испортятся. Будьте
внимательны при вводе кода!

CureIT ничего не нашел вообще.

Answer 1

[Max Maximov]

К сожалению вы ничего не найдете. Не хотелось бы вам советовать заплатить, но иного выхода порой не бывает. Мы с подобной проблемой сталкивались, но заражена была файлопомойка. Данные восстановили с пользовательских машин.
Саппорт НОД'а нам так ничем и не помог.
Многие покупают дешифратор, отправляют антивирусникам, те пишут на основе алгоритма дешифратор для остальных. Но помогает это редко.
ps. «Люди делятся на две категории: кто еще не делает бэкапы, и кто их УЖЕ делает»

Comments

[Sergey]

бекапы есть, но не самые свежие, как часто бывает. Заплатить-то и нет возможности - сломан этот механизм в данном случае, нет номера, куда слать смс. Я написал по этому ящику, но пока никакой реакции нет.

[Doggett]

Привет, bondbig дай свои координаты плиз в лс, есть точно такая же проблема, хотелось бы поговорить через IM, или как тебе удобно будет. Есть пара вопросов. Жду письма. В ЛС.

[Sergey]

Привет. В хабра-профиле есть контакты: habrahabr.ru/users/bondbig
лучше скайп. Странно, что в тостер-профиль не попали контакты с хабра-профиля, когда ТМ весь Q&A переносила в тостер.

[Doggett]

bondbig написал в асю

[Sergey]

аськой почти не пользуюсь, на этом компе даже не установлена. пиши в скайп

Answer 2

[zar0ku1]

вчера боролся с подобной заразой, все удачно вылечил и расшифровал
для начала нужно определить конкретную версию вируса, потом подобрать ключ

Comments

[freerc]

Добрый день. А подробности можно? тело вируса нашел. Определяется как Trojan-Ransom.Win32.Xorist.ple. Что дальше?

[Sergey]

Только вчера и вышла новая версия декриптора от dr.web, она и расшифровывает. Причем некоторые файлы были зашифрованы дважды.

[freerc]

te94decrypt. это он? но как тогда быть с dbf-ками от 1с? он их не расшифровывает вроде. или декриптор не тот?

[Sergey]

расшифровывает. В моем случае, многие dbf-ки (почти все) были зашифрованы дважды, по непонятной причине. Т.е. расшифровываешь file.dbf.dalexf.11111@yandex.ru -> file.dbf, а потом еще раз переименовываешь в file.dbf.dalexf.11111@yandex.ru и еще раз прогоняешь декриптор. Спасло несколько баз. Но пришлось долго возиться, выясняя, какие dbf-ки были дважды зашифрованы.

[freerc]

качал вот отсюда ftp://ftp.drweb.com/pub/drweb/tools/te94decrypt.exe. он мне так и пишет, что поддерживает только офисные файлы. хотя дешифровать сначала пытается, но ключа так и не находит

[Sergey]

см. ниже, я написал, откуда качать и как использовать утилиту.

Answer 3

[PunisherDSM]

Скачал вышеописанную утилиту. Но она при запуске ругается на файл pass!, затем создает множетсво копий документа с пристакой К-ХХХ. И говорит, что возможный ключ, 401.

Пробовал создавать файлы pass, pass!, pass.txt и прописывать туда 401. Ничего не меняется, также ругается на pass и создает тучу файлов.

Поясните пожалуйста как пользоваться утилитой и возможно ли расшифровать сразу несколько файлов, а не по одиночке.

Comments

[Sergey]

Цитата от саппорта:

Актуальную версию te94decrypt скачайте по ссылке
download.geo.drweb.com/pub/drweb/tools/te94decrypt.exe

Запускать её нужно с параметром комстроки -k 401 , т.е. так :
te94decrypt.exe -k 401
или
te94decrypt.exe -k 401 -path D:\Path
- так деятельность реконструктора ограничится только тем, что найдется в указанном каталоге D:\Path

На диске потребуется свободное место, равное общему объему зашифрованных файлов.
te94decrypt сохраняет расшифрованные копии рядом с зашифрованными;
по принципу : "документ.jpg.dalexf.11111@yandex.ru" (зашифрованный) => "документ.jpg" (расшифрованный)
Сначала убедитесь, что все что нужно расшифровалось, потом *.dalexf.11111@yandex.ru -файлы можно удалить.