Encrypt 1.3.1.1.vis / drakosha2 (разновидность Cryakl)

Сегодня на сервере неизвестное лицо запустило данный шифровальщик, нацелив его на директорию веб сервера, в результате чего все скрипты и другие файлы были зашифрованы.

Интересует возможность расшифровки файлов, путём нахождения алгоритма работы оригинального шифровальщика - прилагаю его по ссылке: http://rgho.st/8LG6qhM96. Судя по ресурсам внутри исполняемого файла, он с графическим интерфейсом, и не станет ничего шифровать без нажатия кнопки. Но всё равно, запускать его лучше в виртуальной машине.

Зашифрованные файлы создаются с именами вот такого вида:

Code:

[email protected] 1.3.1.0.id-@@@@@5639-FBD4.randomname-ABCEFGHIJKLMMNOOPQRSTUVWXYZAAB.CDE.fff

Каждый файл содержит в себе незашифрованную часть, так можно понять, каким он был раньше.

В конце файла встречаются такие сигнатуры:

Code:

{ENCRYPTSTART}{00914822313525420 ... 69083108104127122114126162107023238028146085180093160105225}{@@@@@5639-FBD4}{11946}{CL 1.3.1.0}{index.html}{D8E4AB51B53EF9FF80E0EECFE805C3DB}{250}{44}{109}{142}{185}{210}{236}{134}{175}{177}{218}{172}{246}{232}{129}{171}{100}{14}{55}{41}{227}{21}{166}{72}{121}{107}{253}{46}{208}{122}{155}{133}{15}{56}{242}{147}{189}{167}{48}{138}{100}{237}{6}{9}{146}{195}{117}{23}{56}{163}{212}{238}{120}{177}{123}{37}{102}{120}{10}{67}{77}{231}{24}{51}{108}{126}{32}{81}{35}{197}{254}{248}{146}{195}{125}{39}{112}{122}{196}{198}{87}{153}{83}{244}{54}{64}{209}{11}{229}{142}{208}{218}{100}{157}{79}{9}{58}{60}{6}{71}{9}{81}{195}{28}{222}{208}{1}{164}{6}{40}{202}{27}{5}{175}{240}{50}{107}{164}{229}{23}{96}{161}{227}{36}{109}{225}{75}{125}{31}{112}{106}{28}{109}{128}{209}{251}{77}{127}{73}{162}{108}{38}{127}{154}{59}{133}{95}{33}{106}{116}{30}{103}{89}{19}{92}{127}{32}{106}{84}{6}{70}{143}{175}{210}{140}{254}{71}{90}{92}{157}{175}{194}{11}{37}{47}{121}{139}{109}{174}{241}{19}{92}{118}{72}{138}{164}{190}{255}{34}{244}{53}{87}{57}{131}{149}{167}{240}{11}{29}{94}{120}{90}{156}{190}{168}{233}{251}{238}{47}{73}{35}{108}{127}{161}{234}{252}{7}{152}{162}{124}{174}{176}{146}{211}{221}{183}{233}{251}{197}{246}{256}{210}{11}{253}{207}{121}{3}{156}{198}{247}{48}{89}{131}{196}{253}{46}{120}{161}{202}{12}{61}{118}{184}{241}{26}{156}{205}{254}{72}{121}{178}{243}{37}{78}{143}{193}{242}{51}{108}{158}{223}{24}{66}{179}{61}{206}{128}{50}{204}{6}{224}{226}{180}{150}{96}{58}{252}{182}{103}{17}{163}{101}{47}{192}{98}{236}{133}{39}{209}{106}{4}{174}{72}{233}{163}{61}{207}{120}{34}{228}{134}{39}{177}{83}{236}{126}{32}{194}{67}{237}{135}{32}{202}{92}{237}{143}{41}{195}{92}{38}{208}{130}{35}{173}{95}{249}{146}{140}{14}{144}{33}{171}{44}{206}{88}{217}{115}{253}{118}{8}{32}{178}{210}{83}{245}{127}{256}{154}{28}{165}{55}{209}{90}{236}{126}{255}{153}{59}{236}{142}{16}{153}{43}{173}{54}{192}{66}{211}{133}{23}{160}{50}{188}{85}{239}{121}{2}{164}{46}{175}{73}{211}{92}{246}{127}{9}{163}{44}{182}{144}{10}{131}{21}{142}{56}{194}{67}{197}{79}{192}{58}{171}{45}{174}{56}{186}{59}{213}{78}{200}{82}{203}{61}{198}{64}{194}{75}{197}{70}{208}{82}{203}{85}{206}{72}{210}{67}{189}{70}{192}{114}{243}{117}{238}{120}{2}{115}{245}{142}{248}{122}{3}{109}{254}{120}{241}{219}{93}{231}{120}{2}{140}{29}{159}{49}{202}{84}{222}{119}{1}{138}{20}{166}{39}{201}{83}{29}{174}{64}{194}{83}{221}{102}{256}{146}{19}{181}{63}{200}{114}{252}{133}{31}{169}{50}{196}{78}{215}{105}{251}{132}{38}{176}{57}{219}{101}{238}{128}{10}{131}{37}{166}{D96AE6216562E5F5CF57CA52203E2CDF}{25615}{ENCRYPTENDED}

Там же есть старое имя файла.

Зеркало, если rghost недоступен:
http://zalil.su/7320304

 

http://rgho.st/8Tlr7yvF5

Образцы файлов - оригинальный и зашифрованный.

 

Либо админ, либо тебя подломили. Прога запакована при помощи Armadillo. Интерфейс прикольный.

 

Зашли через удалённый рабочий стол в незапароленную учётку, созданную другим админом... (плохие локальные политики) а я не углядел, да.

 

Крч кода до жопы, используется Biglib+вероятно rsa для шифрования данных и перевода в текстовый вид, начинается тут:
0045FD30 >/$ 55 PUSH EBP ; Unit1.sub_0045FD30

работы до жопы и не думаю, что я осилю, но чисто теоретически дешифровать можно будет, правда нужно будет не только обратить алгоритм, но и сделать подобие брута. В целом, как и с другими шифровальщиками - дешевле будет заплатить, чем делать эту работу.

 

А сколько просят хоть? на одном форуме читал что используеться RSA 4096 вроде как.

 

Пока не писал этому "дракоше" на почту, но наверно напишу позже.

 

где то видел что 40к просит. Не стал бы платить....

http://foros.zonavirus.com/viewtopic.php?t=61720

http://support.kaspersky.com/viruses/disinfection/8547#block1 - сдесь RannohDecryptor.zip Cryakl

http://blog.satinfo.es/2016/muy-imp...con-el-cryptolocker-del-falso-mail-de-endesa/ (Мы знаем , что они решили случаи cryptolocker, следует рассматривать с другими случаями тока CRYPTXXX (теперь называется UltraCrypter) как последняя версией RSA4096 или полезность Антивирус расшифровывает)

 

Ну в таком случае, если при реализации алгоритма шифрования не было допущено критических ошибок, то это просто забей. С современными технологиями даже RSA512 факторизовали лишь в нескольких случаях (WinRar, ASProtect(но это не точно, тут говорят об утечке сырков), uvScreenCamera). Довольное серьезным кластерам на 512 потребуется неск месяцев. Так что пишите автору зверька)

 

Уже пробовал, не помогло.

 

Есть ли додвижки с шифровальшиком ? Новости?

 

Пока нет. Скинул @Felis-Sapiens ссылку на тему, он сказал, что посмотрит.

Сейчас ещё пытаемся восстановить данные со старого диска, что-то есть, но пока далеко не всё.

 

Если даже будет и не все, со временем восстановится трудами, но в очередной раз был дан умопомрачительный урок когда подох ачат, и Егор+++ всяко снимает бекапы постоянно, надо тоже так делать, а админам твоим претензию дать, наверняка на серваке шифранулся не только 3wifi. Заставить их снимать бекап как можно чаще, без ущерба работы сервера.

 

Написал, ответили на русском языке. Скидку не сделали.

http://prnt.sc/es8jkw

 

Тогда не стоит связываться.
Они как бы не в курсе, какой сервер поломали.
Мы восстановим все трудами, ..., я считаю так.. За нами не заржавеет.
40 - тысяч - это пиздец, поработаем -нагоним, передавай привет админам
Виноват не чисто админ 3wifi а олух, я же говорил давай перенесем, все есть для этого.

 

Уж не знаю, что у вас там было, но поддерживаю предыдущего оратора. Пусть эти VX'eры сосут хуй, а не 40к. Ну и вам урок тоже, по поводу учеток, резервного копирования и выключения теневых копий на серваке ;-)

 

Кто то иппатеку решил таким образом оплачивать. Сумма не одекватная. До чего кризис людей довёл

 

Это рандом (заражения не только по России).
https://goo.gl/VDJ2kU

Здесь пишут, что вроде могут расшифровать:
https://goo.gl/v60ORR
https://goo.gl/8ZQPJh

 

Вторую ссылку находил, первую ещё нет.

Странно, что нигде нет программы-расшифровщика, пусть даже с брутфорсом, который займёт время.

 

decryptor'ы выпускают быстро, если код гомно (разрабы ложанули, ключ открыто прописали и т.д.). Это уже не 1-ая волна, код поправили, мне кажется если и будет decryptor, то не скоро.