зашифровано с расширением *.sage , CryLocker / ransom_note: !HELP_SOS.hta

1
RSS
24.02.2017 на почту поступило письмо. Был прикреплен архив Invoice.Ref.54895 внутри которого был JavaScripts
Запустив который, - были зашифрованы все файлы doc, xls, xml, jpg, avi, txt, db, rar..... и так далее. Вообщем кроме браузеров и пару установочных файлов - больше ничего полезного не осталось
Теперь все файлы получили расширение *.sage
и в каждой папке где зашифрован файл, появился новый житель, файл !HELP_SOS.hta, запускать который так и не рискнул
Прошу помощи у знатоков данного профиля.
Спасибо
Влад,
добавьте несколько зашифрованных файлов в архиве, и образ автозапуска системы.
если сохранилось тело шифратора (или вложение из почты), вышлите в почту safety@chklst.ru в архиве, с паролем infected.
+
добавьте вместе с зашифрованными файлами записку о выкупе, наверняка в ней должна быть указана версия шифратора sage.
Цитата
santy написал:
Влад,
добавьте несколько зашифрованных файлов в архиве, и образ автозапуска системы.
если сохранилось тело шифратора (или вложение из почты), вышлите в почту safety@chklst.ru в архиве, с паролем infected.
+
добавьте вместе с зашифрованными файлами записку о выкупе, наверняка в ней должна быть указана версия шифратора sage.
Образ системы
http://rgho.st/6Jp6MQPnF
письмо с зашифроваными файлами и скриптом-шифровальщиком отправил на почту
Присоединяюсь, очень нужен дешифратор
@Влад vrate,

Цитата
Sage 2.0
Для этого вымогателя пока нет способа дешифровки данных.

Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик.

Опознан как

   ransomnote_filename: !HELP_SOS.hta
   ransomnote_url: http://7gie6ffnkrjykggd.onion/
   sample_extension: .sage
   sample_bytes: [0x28505 - 0x28509] 0xBEBA9E5A
https://id-ransomware.malwarehunterteam.com/identify.php?case=3af97157994233f97a4eb0bb35ef925ed8706d11


@Толстой Алекс,
добавьте несколько зашифрованных файлов в архиве, и образ автозапуска системы.
если сохранилось тело шифратора (или вложение из почты), вышлите в почту safety@chklst.ru в архиве, с паролем infected.
1
Читают тему (гостей: 1)