Премини към съдържанието
  • Добре дошли!

    Добре дошли в нашите форуми, пълни с полезна информация. Имате проблем с компютъра или телефона си? Публикувайте нова тема и ще намерите решение на всичките си проблеми. Общувайте свободно и открийте безброй нови приятели.

    Моля, регистрирайте се за да публикувате тема и да получите пълен достъп до всички функции.

     

Успешно декриптиране на зараза от типа [email protected] посредством rakhnidecryptor


Препоръчан отговор

  • Отговори 83
  • Създадено
  • Последен отговор

Потребители с най-много отговори

Потребители с най-много отговори

Популярни публикации

Здравейте, Отварям тази тема с цел потвърждение на изложеното по горе от B-boy/StyLe/. Нашата мрежа беше заразена от криптиращ вирус от типа [email protected] При първия опит за декри

Супер, мерси за доклада. Нека тази тема бъде използвана и от други, които са успели успешно да възстановят файловете си за да определим степента на ефективност на инструмента и при какви обстоятелства

Като цяло лъча май е пред изгасване. Проверете дали имате достатъчно празно място за извършването на декриптирането и не променяйте разширенията на файловете ръчно. Инструмента се опитва да пробие пар

Публикувани изображения

Намери паролата за около 27 часа. При мен tool-а проработи на 100%.

19:05:36.0839 0x0478  Start state: 0, end state: 1000000

 

23:02:45.0387 0x0dbc  Current state: 950103 / 1000000
23:06:43.0126 0x0478  Password recovered

Спести ми много ядове. Благодаря

Линк към този отговор
Сподели в други сайтове

 Може да се ползват опциите -start xxx и -end xxx. Отваряте run(с натискане на клавишите windows /r)Пишете в прозореца пътя към програмата - C:\RakhniDecryptor.exe –start 831300 –end 831400 натискаме enter.

Паролата е 831381 поред.Със задаването на този диапазон компютъра я намира за около 1-2 минути( става дума за файлове [email protected]).При мен файловете се въстановиха на 100%.

Редактирано от nikib (преглед на промените)
Линк към този отговор
Сподели в други сайтове

Не е съвсем така. При някои паролата е била открита и по-рано ако сте прочели и горния коментар. ;)

Иначе се радвам, че важната тема ви е била полезна и на вас!


Линк към този отговор
Сподели в други сайтове

 Здравейте,

за съжаление това ще е темата, в която ще се разпиша за пръв път във форума.

От вчера в мрежата ни се появи гадината с freespeechmail домейн. Може ли някой да каже как бихме могли да издирим от коя машина е стартирал.

В момента всичките, около 50 машини + виртуалки, са засегнати, като става въпрос само за шернатите директории с write права. Предполагам, че на тази която търсим са засегнати всички директории?

 

Поздрави!

Линк към този отговор
Сподели в други сайтове

пуснах тула на един заразен лаптоп като избрах .doc но за съжаление след 3 дена проверка не намери паролата,пробвах и с .pdf ,но не се получи пак явно този комп е заразен със по-сложна парола.

Линк към този отговор
Сподели в други сайтове

Обадиха ми се от една фирма с подобен проблем преди няколко дена. След като установих, че са жертва на същия този вирус и има tool разработен от Kaspersky се зарадвах много, че ще мога да им помогна. За съжаление при мен RakhniDecryptor не успя да се справи с паролата. Не са налични и shadow копията на Windows за възстановяване на файловете от техни по-стари не криптирани версии. Дано от Kaspersky пуснат нова версия на tool-a, която да работи при всички пострадали от вируса.

wtf.fw.png

Редактирано от outlaw.dll
Правописна грешка (преглед на промените)
Линк към този отговор
Сподели в други сайтове
на 20.11.2015 г.,, outlaw.dll написа:

 Дано от Kaspersky пуснат нова версия на tool-a, която да работи при всички пострадали от вируса.

Привет,

Не е до инструмента и няма да има нова версия на инструмента. Просто някои варианти използват по-сложни пароли (нищо, че файловете са със същото разширение, вариантите на криптора са различни) и при някои такива просто разбиването на паролата не невъзможно. Инструмента освен наличните ключове основно се опитва да направи brute-force на паролата, но просто това не е възможно за всички налични варианти на криптора.

Линк към този отговор
Сподели в други сайтове

Според мен е нов модел, защото търсих и не можах да намеря инфо за това разширение. В момента се боря, като в Kaspersky тула, не присъства в листата с поддържаните разширения и съответно криптираните файловете не се показват за да се избере някой за сканиране.

[email protected]

Прави обичайното: файл.тхт.id-ХХХ цифри[email protected]

Поразил е даже .TXT файловете спрямо предишните версии.

За пример съм прикачил един криптиран.

[email protected]

Линк към този отговор
Сподели в други сайтове
на 28.11.2015 г.,, nnext написа:

Според мен е нов модел, защото търсих и не можах да намеря инфо за това разширение. В момента се боря, като в Kaspersky тула, не присъства в листата с поддържаните разширения и съответно криптираните файловете не се показват за да се избере някой за сканиране.

[email protected]

Докладван е в BleepingComputer. При повече информация ще пиша в темата.

Поздрави!

Линк към този отговор
Сподели в други сайтове

Здравейте , със CCC някой борил ли си е???. Направо съм бесен !!! Тоя път вината е 100 % на някое ЗКУ! Но никой не си признава :( !.

На десктопа Има черен фон с надписи - обяснение какво се е случило и какво да правим ако си искаме файловете. При предния така и не открих първоизточника. Пораженята са ТОТАЛ. Всички документи ! Освен всичко и няколко файла в един друг компютър със споеделена папка на който не бях сложил още Kaspersky. За щастие няма фатални последствия този път. Файловете не са много важни.... Спрях им интернета и им казах да не го пускат и като намеря време ще преиснталирам....

Линк към този отговор
Сподели в други сайтове
Линк към този отговор
Сподели в други сайтове
преди 34 минути, B-boy/StyLe/ написа:

Благодаря , може да им запазя част от файловете (ако решат , че имат важни)  и да пробвам ...

Линк към този отговор
Сподели в други сайтове
Току що, SVETLIN80 написа:

Благодаря , може да им запазя част от файловете (ако решат , че имат важни)  и да пробвам ...

Разбира се. Те не са заразени, а само криптирани. :)

Линк към този отговор
Сподели в други сайтове

Благодаря много на B-boy/StyLe/  за линка към tool-a на Kaspersky. Бях атакуван два пъти през последния месец. И двете пароли бяха открити от tool-a за съответно ~ 30 и 36 часа.

Един малко страничен въпрос - по какъв начин или какъв tool (защото явно антивирусните програми не са ефикасни винаги) може да се провери дали даден компютър още по някакъв начин е достъпен за подобни атаки (пуснах и ComboFix няколко пъти и уж част от причиняващите файлове бяха изтрити)...?

Линк към този отговор
Сподели в други сайтове

Не препоръчвам Combofix, ако не можете да боравите с него, защото е много мощен и често допуска и фалшиви тревоги и трие легитимни неща. Не мисля, че има и инструмент, който да провери дали системата е уязвима за подобни атаки (има за лечение, но то е малко като след дъжд качулка). Просто следвайте нормалните инструкции за превенция - обновяване на програмите и инсталиране на кръпките за Операционната Система, бекъп на важните документи, спиране на Autorun (за предпазване на външните носители от зараза, ако системата е заразена и да не заразите компютъра от вънпните носители), може да инсталирате anti-exploit програма като Malwarebytes Anti-Exploit или HitmanPro.Alert3. Други добри програми за защита са средствата за имунизация - CryptoPrevent, Bidfedender AntiCryptoWall, CryptoMonitor (работят на различни принципи). Има и добри защитни програми, но са леко за по-напредналите - Comodo Internet Security (заради HIPS модула и възможността да защитава файлове и папки - Protected Files and Folders, sandbox-a си и т.н.), платените версии на Panda (с опцията си DataShield), антивирусната Qihoo 360 Total Security (с опцията си Data Hijack Protection), програми които се водят (default-deny/anti-executable) като SecureAPlus., VoodooShield, Appguard, Behaviour Blocker-a на Emsisoft Internet Security, ползване на последните версии на браузърите с подходящите настройки и добавки за блокиране на скриптове, рекламни банери, флаш анимации, да не се стартират непознати файлове прикрепени към електронната поща и т.н.

 

 

Поздрави! ;)

Линк към този отговор
Сподели в други сайтове
на 11/28/2015, 1:02:54, B-boy/StyLe/ написа:

Докладван е в BleepingComputer. При повече информация ще пиша в темата.

Поздрави!

За [email protected] до колко ще помогне, ако се предоставят оригинални файлове и криптирани? Също дали има готова програма, която ако и предоставиш оргинален и криптиран файл може да намери или налучка алгоритъма за декриптиране?

 

Линк към този отговор
Сподели в други сайтове

Предполагам, че ще има и други "изгорели", които ще се чудят дали не е по-лесно да си платят за декриптор. По-миналата седмица (в петък, 13.11.2015) всичките ми файлове бяха криптирани с "freespechmail". RakhniDecryptor се справи успешно за 49 часа и ги възстанових.

Миналият петък, обаче ми се натресе weekendwarrior55. Пробвах декриптора върху един XLXS файл, но след 48 часа съобщението беше, че не може да се намери парола. Търсенията в интернет не дават почти нищо. Има въпрос в AVAST, но отговорът е меко казано "бланков". За това реших все пак да проверя колко пари ще искат пиратите. Ето и кореспонденцията:

Ме:

Hello,

My files has been crypted on Friday, 27.11.2015.

Please, send me a decryptor to unlock my files.

The hijacker:

Hi

If you wish to get all your files back, you need to pay 3 bitcoins.

Go to localbitcoins dot com, it's probably the easiest way, open an account,

buy bitcoins and then ask me for the address to send the bitcoins to.

 

Me:

Hi,

My friend, I am from Bulgaria. 3 bitcoins are my salary for two months.

If you agree I can pay 0.1.

 

The hijacker:

2 btc

 

От време на време се чудя дали да не продължа пазарлъка да видим до къде ще падне. Така или иначе едва ли ще ги платя. Мисля си, обаче - дали има някакъв начин декрипторът, който ще получа от тях да се използва, за да се разработи универсална програмка, която да помогне на повече хора?

Редактирано от veselinv (преглед на промените)
Линк към този отговор
Сподели в други сайтове
преди 10 часа, veselinv написа:

Мисля си, обаче - дали има някакъв начин декрипторът, който ще получа от тях да се използва, за да се разработи универсална програмка, която да помогне на повече хора?

Не разбира се. Ползва се, частен ключ, който е различен (уникален) за всяка една система. Щеше да е много лесно ако ставаше така, но те са го измислили.

Линк към този отговор
Сподели в други сайтове
на 1/12/2015, 10:44:20, veselinv написа:

Credo che ci saranno altri "gas di scarico", si chiederanno se è più facile pagare per dekriptor. Nella scorsa settimana (il Venerdì, 11/13/2015) tutti i miei file sono stati crittografati con "freespechmail". RakhniDecryptor far fronte con successo per 49 ore e recuperato.

Venerdì scorso, però, ho rotto weekendwarrior55. Dekriptora provato su un file XLXS, ma dopo 48 ore il messaggio era che non è possibile trovare una password. Cerca su Internet non dare molto. C'è una domanda di AVAST, ma la risposta è a dir poco "in bianco". Per questo ho deciso di controllare la quantità di denaro che si desidera pirati. Ecco la corrispondenza:

Me:

Ciao,

I miei file è stato criptato su Venerdì 2015/11/27.

Per favore, mandatemi un decryptor per sbloccare i miei file.

Il dirottatore:

Ciao

Se si desidera ottenere tutti i file indietro, dovete pagare 3 bitcoin.

Vai localbitcoins dot com, è probabilmente il modo più semplice, aprire un conto,

comprare bitcoin e poi chiedermi l'indirizzo per inviare i bitcoin a.

 

Me:

Ciao,

Il mio amico, io sono dalla Bulgaria. 3 bitcoin sono il mio stipendio per due mesi.

Se siete d'accordo si può pagare 0.1.

 

Il dirottatore:

2 BTC

 

Di tanto in tanto mi chiedo se continuare la contrattazione per vedere dove si cade. In ogni caso improbabile che pagare per loro. Penso, tuttavia - se non vi è alcun modo dekriptorat che otterrà loro di essere utilizzati per sviluppare un programma universale che può aiutare più persone?

Здравейте на всички. Аз съм италианец потребител. извинете граматиката. Хванах вируса av666 @ weekendwarrior55, аз исках да попитам как успяхте да се свържете с "хакер, защото аз не си купите някоя .txt, .html или JPG.

благодаря

Линк към този отговор
Сподели в други сайтове
преди 1 час, veselinv написа:

Potete email L'utilizzo è a [email protected]

Altri e-mail Il, utilizzato da questo dirottatore è [email protected]

Comunque ... non è una buona idea di pagare loro.

благодаря ти! Знам, че не е добра идея ... но там е работата на живота си на този сървър ......

thank you! I know it is not a good idea ... but there is the work of a lifetime on that server ....

 

Линк към този отговор
Сподели в други сайтове

Please, wait for advice from B-boy/StyLe/!

Линк към този отговор
Сподели в други сайтове

Добавете отговор

Можете да публикувате отговор сега и да се регистрирате по-късно. Ако имате регистрация, влезте в профила си за да публикувате от него.
Бележка: Вашата публикация изисква одобрение от модератор, преди да стане видима за всички.

Гост
Напишете отговор в тази тема...

×   Вмъкнахте текст, който съдържа форматиране.   Премахни форматирането на текста

  Разрешени са само 75 емотикони.

×   Съдържанието от линка беше вградено автоматично.   Премахни съдържанието и покажи само линк

×   Съдържанието, което сте написали преди беше възстановено..   Изтрий всичко

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Добави ново...

Информация

Поставихме бисквитки на устройството ви за най-добро потребителско изживяване. Можете да промените настройките си за бисквитки, или в противен случай приемаме, че сте съгласни с нашите Условия за ползване