От известно време сигурно всички знаете за бума на криптиращия вирус в лицето на [email protected], [email protected] и подобните варианти, които са основно разпространени у нас и наоколо. Преди време се появи на бял свят първия вариант в лицето на [email protected]. Оттогава измина доста време и експертите, които се занимават с декриптиране не можеха да намерят противодействие (говоря поне за тези, които се намират на запад). Така се появиха и първите теми за дискутиране на [email protected]. Оказа се, че без много шум тогава от Kaspersky бяха пуснали алгоритми за декриптирането на този вариант в един от инструментите си в лицето на rakhnidecryptor. На сайта на инструмента вече ясно се вижда, че самия (india.com) вариант е упоменат в предпоследния ред от ръководството. Така, въпреки ниския рейтинг на инструмента в сайтове където се предлага за свободно изтегляне и въпреки отзивите на потребителите, че не работи за всички с този вариант на криптора, все пак за някои работеше на 100% и бе лъч светлина в тунела. Сега след появата на новите вариации на заразата в лицето на [email protected], [email protected] (и подобните,които съдържат @ в името си) се започна спекулация, че всъщност става въпрос за една и съща зараза (с просто обновени e-mail адреси, на които злосторниците да получат своя откуп в биткойни) и това се потвърди освен от recovery.bmp снимката на екрана, която бива поставяна на похитените системи и от докладите на потребители, че въпросния декриптор на Касперски все още работи и ще се окаже, че винаги е бил наличен декриптор без обаче никой да знае затова и чакайте да бъде създаден нов. Днес един потребител ми докладва, че е успял след доста чакане (след около 10 часа по негови думи) да декриптира файловете на целия си твърд диск. Но да не се учудваме...все пак Kaspersky и Dr.Web са едни от първите които се занимават с този вид заплахи и имат доста повече ресурси за решаването на подобни проблеми. Експертите с които комуникира екипа ни обикновено са доброволци с ограничени работно време и ресурси. Това всъщност в момента няма значение. Важното е, че се работи в тази насока и дано в близко бъдеще подобни напасти да не бъдат проблем за никого и дано се намери един ден решение и инструмент и за останалите към момента недосегаеми варианти като Cryptowall и подобните.

Апела ми към всички заразени е, ако искат докато просто чакаме за алтернатива или по-ефективно решение да изпробват въпросния инструмент, който може да сканира дори дискове по мрежата, но към момента да се въздържат от слагането на отметката за изтриването на криптираните файлове след декриптирането им (ако имат повече свободно място разбира се) в случай, че инструмента се провали или че декриптираните файлове продължават да бъдат неизползваеми, защото при изтриването и на криптираните ще се лишите от възможност да опитате отново с друг инструмент на по-късен етап (ако такъв изобщо бъде създаден разбира се).

С инструмента се работи лесно.

1. Изтеглете го оттук => rakhnidecryptor

2. След разархивирането и стартирането му изберете Change parameters и изберете кои носители искате да сканирате (без да слагате при наличие на достатъчно свободно място отметката за изтриването на вече декриптираните файлове).

3. След това натиснете бутона Start Scan и посочете пътя до един от криптираните файлове (съдържащ в името си знака @).

И след това остава да се запасите с търпение и да се надявате, че инструмента ще проработи и при вас.

Засега е известно, че инструмента би трябвало (но не е на 100% сигурно) да проработи при следните варианти:

Цитат

[email protected] => потвърдено, че работи
[email protected] => потвърдено, че работи
[email protected] => потвърдено, че не работи
[email protected] => не е потвърдено дали работи или не работи
[email protected] => не е потвърдено дали работи или не работи
[email protected] => не е потвърдено дали работи или не работи
[email protected] => не е потвърдено дали работи или не работи
[email protected] => не е потвърдено дали работи или не работи
[email protected] => не е потвърдено дали работи или не работи
[email protected] => потвърдено, че не работи
[email protected] => не е потвърдено дали работи или не работи
[email protected] => потвърдено, че работи

ccc => разширението използвано от новия вариант на TeslaCrypt => потвърдено, че работи в някои случаи на слаба парола

Съжалявам, че нямам време да форматирам темата по-добре, но бързам да предоставя научената информация, защото и без това достатъчно чакахте.

Хубавата новина е, без значение дали решението е било предоставено от експерт по сигурността или потърпевш това само показва, че сме единни в тази битка.

Поздрави и успех на всички! При наличието на нова информация темата ще бъде актуализирана!

Потребителите заразени с (Crypt) Ransomware-a могат да опитат следния инструмент (при наличието на поне един некриптиран файл):

http://media.kaspersky.com/utilities/VirusUtilities/RU/rannohdecryptor.exe

За повече информация вижте следния блог:

https://blog.kaspersky.com/cryptxxx-ransomware/11939/

Засега имам наблюдението, че поне при 3-ма потребителя файловете са възстановени успешно (поне pdf файловете и графичните формати).

За съжаление видеофайловете едва ли ще бъдат декриптирани!

 

 

За потребителите заразени с TeslaCrypt нека да използват следния инструмент:

http://support.eset.com/kb6051/?viewlocale=en_US

 

 

Поздрави!