Премини към съдържанието
Mitko Shekerov

Успешно декриптиране на зараза от типа ...helpme@freespeechmail.org посредством rakhnidecryptor

Препоръчан отговор


Здравейте,

Отварям тази тема с цел потвърждение на изложеното по горе от B-boy/StyLe/. Нашата мрежа беше заразена от криптиращ вирус от типа ...helpme@freespeechmail.org. При първия опит за декриптиране беше посочена като дестинация споделена мрежова папка съдържаща криптирани файлове. Rakhnidecryptor успя да намери паролата, но по една или друга причина не продължи с декриптирането. При втория опит криптираните файлове бяха сложени на флаш драйв и след намирането на паролата ( на компютъра му бяха необходими 11 часа!) декриптирането беше на 100% успешно.

По надолу съм приложил .log файла.

RakhniDecryptor.1.14.0.0_30.10.2015_12.24.33_log.rar

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Супер, мерси за доклада. Нека тази тема бъде използвана и от други, които са успели успешно да възстановят файловете си за да определим степента на ефективност на инструмента и при какви обстоятелства се справя най-добре. Жалко само,че не знаехме за инструмента преди 2-3 седмици, когато започна и пандемията, но по-добре късно, отколкото никога. :)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Дано тия, дето разпространяват заразата, не разберат.  Наличието на инструмент за декриптиране в този момент, не трябва да ни кара да се отпускаме. Превенцията и взети необходими защитни мерки, са най-добрия лек.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Дано тия, дето разпространяват заразата, не разберат.  Наличието на инструмент за декриптиране в този момент, не трябва да ни кара да се отпускаме. Превенцията и взети необходими защитни мерки, са най-добрия лек.

ти как мислиш,дали не са разбрали вече ? сигурен съм,че усилено се пишат подобрени крипто вируси.


Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Kaspersky Rakhini Decryptor се справи за ден и половина на слабичка машинка с декриптирането на helpme@freespeechmail.org ransomware !  20000 файла ....бази,архиви и документи са живи! :D

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Естествено ! :) Информацията във Вашите теми е една от малкото на български в нет-а по въпроса! 

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Още малко опит при прилагане на инструмента. Може да се ползват опциите -start xxx и -end xxx. Това дава възможност програмата да бъде стартирана на няколко машини едновременно при първоначалния процес за намиране на паролата като числото xxx може да бъде в диапазона 1-1000000. Примерно имате мрежа от 4 компютъра - на първия в shortcut - a се задава rakhnidecryptot.exe -start 0 -end 250000 на втория rakhnidecryptot.exe -start 250000 -end 500000 и т.н. След като се намери паролата файловете могат да се декриптират и на части като за старт се задава най близкото число преди стойността на която е намерена паролата която е записана в .log файла.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Искам да кажа, че този инструмент проработи и при един приятел. Беше хванал вируса, а имаше (сега си ги има де) около 2к снимки. :) (пътуваня, приятели и т.н. Демек, не може да си ги свали) и инструмента ги декриптира безпроблемно. Жалко, че не мога да прикача log файла, понеже това беше миналата седмица. (малко след като @B-boy/StyLe/ постна темата)

Само искам да изкажа огромна благодарност, от името на моя приятел към @B-boy/StyLe/, че сподели за програмата. :)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Много добра тема... напоследък този вирус прави погроми предимно на win xp и се чудя дали  нарочно са погнали за да се купува новия win10

да отбележа че пробвах и през лан става декриптирането на файлове...

между другото интересно е как е проникнато в компютъра в ESET пише че подобна вариация на вируса прониква от RDP и се препоръчва изключването на услугата...

Благодаря за инфото....

 

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Здравейте, искам да споделя, че преди седмица и три дни хванах крипто вируса "helpme@freespeechmail.org" и Kaspersky Rakhini Decryptor при мен проработи и излекува тази крипто гнусотия - Успях да си върна информацията и всички важни файлове. rakhnidecryptor сканира 52 часа на лаптоп с Win 7 и процесор Intel i5 и откри паролата, след което ми декриптира заключените файловете - документи, музика, снимки и т.н. Така, че ако случайно хванете този гнусен крипто вирус, не бързайте да преинсталирате и да триете файловете си!

Ползвах декриптора от линка на @B-boy/StyLe/, за което му изказвам специални благодарности! :)

Благодарости и на останалите хора от форума, които споделяха информация за решаването на този проблем! :)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

За файлове с разширение  helpme@freespeechmail.or, при мен се оправи, с програмата на Касперски, която Митко е постнал, костваше ми 27 часа на два компютъра, откри ми паролата на 849000 опит, но сега имам и още една поредица и пак съм пуснал да ми търси пароли. Успех и търпение на всички...

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Между другото някой с по силен комп. или уъркстейшън може да се заеме да декриптира файлове

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Здравейте,

И аз пострадах от същия "helpme@freespeechmail.org" вирус. 2 пъти пусках Kaspersky Rakhini Decryptor на 2 различни файла, но за жалост не успя да намери ключ. Като чета вашите постове, все още пазя лъч надежда, че може би аз нещо бъркам. Дръпнал съм Decryptor-а от http://support.kaspersky.com/viruses/disinfection/10556 , версия 1.14.0.0. Някакви съвети?

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Като цяло лъча май е пред изгасване. Проверете дали имате достатъчно празно място за извършването на декриптирането и не променяйте разширенията на файловете ръчно. Инструмента се опитва да пробие паролата, но това е възможно само при варианти, които са генерирали слаби пароли (подадена от C&C сървъра). Получавам рапорти, че без значение, че разширението на файловете е едно и също просто при едни сработва инструмента, при други не. Зависи дали сте от късметлиите с лесна парола или не. Има и случай при който се споменава, че файловете са декриптирани успешно, но въпреки това са неизползваеми. Зависи от коя версия на гадината сте поразени. Но инструмента работи в 90% от случаите до момента, които са ми известни у нас и в чужбина. Дано не сте от малцината в другите 10%.

Поздрави!

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Здравейте,

За сега и при мен не се декриптират файловете. Предполагам не е проблем, че съм прехвърлил криптираните файлове на диска на  стационарен компютър, че лаптопчето е много старичко. При първата проба зададох .jpg файл, декриптора намери ключ, но файловете не се отваряха. При .doc/docx файлове не успява да намери ключ.

Поздрави!

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Здравейте,
При мен проработи, около 14 часа отне да открие паролата, след това около час и половина да декриптира малко над 20х файла. Файла, който посочих беше docx.

Благодаря много B-boy/StyLe/ и на всички, които са споделили опита си тук :)

 

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

С втората поредица от заразени файлове пак се справи програмата за 21 часа, но ч пуснах от 600000 нагоре да сканира и намери парола на 827000 опит

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Хора , заразата при мен  е helpme@freespech.org , но като пусна декриптора и като избера папката където са инфекциите и криптираните файлове не се появяват. Някой имал ли е такъв проблем ?..А доколкото четох този бацил върви със съобщение , че файловете са ти криптирани и трябва да платиш за да ти ги декриптират , но аз такова съобщение не съм видял. При вас имаше ли?

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
преди 8 часа, SVETLIN80 написа:

Хора , заразата при мен  е helpme@freespech.org , но като пусна декриптора и като избера папката където са инфекциите и криптираните файлове не се появяват. Някой имал ли е такъв проблем ?..А доколкото четох този бацил върви със съобщение , че файловете са ти криптирани и трябва да платиш за да ти ги декриптират , но аз такова съобщение не съм видял. При вас имаше ли?

Потребителката тук има подобен проблем, но при мен инструмента откри файловете, които тя ми изпрати. Пробвайте с друга папка докато инструмента види поне 1 от файловете.

https://www.kaldata.com/forums/topic/247431-лаптопът-ми-е-инфектиран-помогнете-ми-моля-ви/?do=findComment&comment=3235467

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Здравейте, и при мен проработи. Пуснах rakhnidecryptor на работна станция с два Xeona и за около 8 часа намери паролата. Благодаря много за темата.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Пуснал съм да декриптира в момента, За около 3 дена трябва да стане

А между другото като намери паролата какво се случва след това. Как се декриптират и другите файлове?

Изпратих им мейл За отключване искат 3 бк което  е около 2бона !!! :(:( дано да не се стигне дотам

Редактирано от SVETLIN80
Допълнение (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

3 биткойна са 750$ по 1.7 курс = 1275 лв. Мда, не е малко...затова се изисква превенция за да не се стига после до това положение.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

backup на облак е май най - сигурното. Компютрите на които влезе бацила имаха антивирусна.

Всъщност установих няколко неща :

1. Заразяваш се ако цъкнеш на някой скам е-майл или нещо подобно

2. Мисля , че не заразява компютрите по мрежата т.е инфектора си седи на Един комп (там където някой е цъкнал на някой скам) и  търси документи и архиви в локалния комп и по всички шернати папки по мрежата. Криптира ги и трие оригиналите (някъде четох , че може да се възстановят с някоя рековъри програмка , пробвах , но не се получи) 

3. Антивирусната не е сигурно , че ще го спре

4. Превантивни мерки - облак, бакъп и shadow copy

Ако някой има повече инфо може да ме допълни или поправи !

 

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Добавете отговор

Можете да публикувате отговор сега и да се регистрирате по-късно. Ако имате регистрация, влезте в профила си за да публикувате от него.
Бележка: Вашата публикация изисква одобрение от модератор, преди да стане видима за всички.

Гост
Напишете отговор в тази тема...

×   Вмъкнахте текст, който съдържа форматиране.   Премахни форматирането на текста

  Разрешени са само 75 емотикони.

×   Съдържанието от линка беше вградено автоматично.   Премахни съдържанието и покажи само линк

×   Съдържанието, което сте написали преди беше възстановено..   Изтрий всичко

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Добави ново...

Информация

Поставихме бисквитки на устройството ви за най-добро потребителско изживяване. Можете да промените настройките си за бисквитки, или в противен случай приемаме, че сте съгласни с нашите Условия за ползване