Невероятные приключения бат-энкодера в России

1
RSS
Эпидемия бат-энкодера в России бурно протекала в период с марта 2014 года по октябрь 2015 года.

Согласно дате создания приватных ключей



мы можем условно выделить несколько периодов:

1. начиная с 01.03.2014 г. для шифрования *.unblck@gmail_com, *.uncrpt@gmail_com, *.unstyx@gmail_com использовались следующие мастер-ключи:
Код
P-crypt (P-crypt) <anon@anon.com>0x5C63D713/0x591A1333 создан 01.03.2014 года.
passphrase к данному мастер-ключу к сожалению неизвестна.
passphrase для сессионных ключей — "P-crypt"

Код
StyxKey (StyxKey) <unstyx@gmail.com> 0xF3E75FD0/0x01270FE6 создан 26.05.2014 года
passphrase: «HckTeam”
passphrase для сессионных ключей: «unstyx»

Код
HckTeam (HckTeam) <uncrpt@mail2tor.com>0xE578490A/0xF107EA9F создан 01.06.2014 года.
Passphrase:”HckTeam”
passphrase для сессионных ключей могут быть: «paycrypt», «unblck», «uncrpt» в зависимости от идентификатора сессионного ключа.

т.о. если шифрование данным шифратором происходило в период с 26.05.2014 по 28.06.2014 года, используя известные мастер-ключи StyxKey (StyxKey) и HckTeam (HckTeam) возможно расшифровать ключевой файл KEY.PRIVATE и извлечь сессионный secring.gpg, который необходим для расшифрования документов пользователя.

2. следующий период в истории bat-энкодера начинается с 28 июня 2014г, когда был создан новый ключ
Код
HckTeam (HckTeam) <paycrypt@gmail.com>0x3ED78E85/0xF05CF9EE

с этого момента шифрование документов идет с расширением *.paycrypt@gmail_com
по данному ключу нет в доступе секретной части.

05 августа 2014 г создан новый ключ
Код
keybtc (keybtc) <keybtc@gmail.com>0xAAB62875/0xA3CE7DBE

с этого момента шифрование документов идет с расширением *.keybtc@gmail_com
по данному ключу нет секретной части.

Сессионные ключи в этот период имеют идентификаторы genesis (keybtc@gmail.com) <keybtc@gmail.com> и cryptpay (cryptpay) <paycrypt@gmail.com> создаваемые без парольной фразы.

В период июль 2014 года так же параллельно шло распространение простого энкодера с шифрованием *.PZDC, *.CRYPT, *.GOOD с использованием следующих ключей:
Код
uncrypt <uncrypt@mail.com>0x6E697C70/0xDF907172 создан 30.06.2014года
extension: (*.pzdc, *.crypt)
passphrase: “,tpgfhjkZ”

Код
unlock <unlocker@consultant.com>0xE71BDC55/0x63D1F277 от 17.07.2014 года
extension: (*.good)
passphrase: "Jur59ETnqq"

3. с января 2015 года



и по октябрь 2015 года бат-энкодер шифрует файлы пользователей с расширением *.vault



в этот период смена мастер-ключей происходила часто, и неизвестен ни один ключ VaultCrypt для восстановления сессионных secring.gpg из VAULT.KEY

сессионные ключи в этот период имеют идентификатор Cellar и не содержат пассфразу.

В конце декабря 2015 года энкодер из России переместился в Германию, и трижды там отметился как *.xrtn, *.trun, *.xort. Во всех трех случаях был использован ключ kkkkk <k@k.kk> (от 15.04.2015г)



©, chklst.ru, forum.esetnod32.ru
Расшифровка по варианту .GOOD

[2018.01.29 13:37:10.023] - Begin
[2018.01.29 13:37:10.023] -
[2018.01.29 13:37:10.023] - ....................................
[2018.01.29 13:37:10.024] - ..::::::::::::::::::....................
[2018.01.29 13:37:10.025] - .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT.. Win32/Filecoder.GPGCrypt
[2018.01.29 13:37:10.026] - .::EE::::EE:SS:::::::.EE....EE....TT...... Version: 1.0.0.0
[2018.01.29 13:37:10.028] - .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT...... Built: Jan 25 2018
[2018.01.29 13:37:10.028] - .::EE:::::::::::::SS:.EE..........TT......
[2018.01.29 13:37:10.030] - .::EEEEEE:::SSSSSS::..EEEEEE.....TT..... Copyright © ESET, spol. s r.o.
[2018.01.29 13:37:10.030] - ..::::::::::::::::::.................... 1992-2018. All rights reserved.
[2018.01.29 13:37:10.030] - ....................................
[2018.01.29 13:37:10.030] -
[2018.01.29 13:37:10.031] - --------------------------------------------------------------------------------
[2018.01.29 13:37:10.031] -

[2018.01.29 13:37:10.034] - INFO: Backup: 1
[2018.01.29 13:37:10.034] - INFO: Looking for infected files...
[2018.01.29 13:37:10.034] - --------------------------------------------------------------------------------
[2018.01.29 13:37:10.035] -
[2018.01.29 13:37:10.035] - INFO: Cleaning file [GOOD_test\01. Цветные сны.mp3.good]
[2018.01.29 13:37:10.254] - INFO: Cleaned.
[2018.01.29 13:37:10.254] -
[2018.01.29 13:37:10.254] - INFO: Cleaning file [GOOD_test\Katalog-06.pdf.good]
[2018.01.29 13:37:10.356] - INFO: Cleaned.
[2018.01.29 13:37:10.356] -
[2018.01.29 13:37:10.356] - INFO: Cleaning file [GOOD_test\marketing_thinking.zip.good]
[2018.01.29 13:37:10.370] - INFO: Cleaned.
[2018.01.29 13:37:10.370] -
[2018.01.29 13:37:10.370] - INFO: Cleaning file [GOOD_test\Ананьев В.А..doc.good]
[2018.01.29 13:37:10.374] - ERROR: Error (499)
[2018.01.29 13:37:10.374] - ERROR: Error (872)
[2018.01.29 13:37:10.375] - ERROR: Not cleaned.
[2018.01.29 13:37:10.375] -
[2018.01.29 13:37:10.375] - INFO: Cleaning file [GOOD_test\беседка1.jpg.good]
[2018.01.29 13:37:10.387] - INFO: Cleaned.
[2018.01.29 13:37:10.388] -
[2018.01.29 13:37:10.388] - INFO: Cleaning file [GOOD_test\бланк заказа.xls.good]
[2018.01.29 13:37:10.441] - INFO: Cleaned.
[2018.01.29 13:37:10.442] -
[2018.01.29 13:37:10.442] - INFO: Cleaning file [GOOD_test\Большаков К.С..doc.good]
[2018.01.29 13:37:10.448] - INFO: Cleaned.
[2018.01.29 13:37:10.449] -
[2018.01.29 13:37:10.449] - INFO: Cleaning file [GOOD_test\Голубев А.В..doc.good]
[2018.01.29 13:37:10.455] - INFO: Cleaned.
[2018.01.29 13:37:10.456] -
[2018.01.29 13:37:10.456] - INFO: Cleaning file [GOOD_test\Голубин Д.А..doc.good]
[2018.01.29 13:37:10.462] - INFO: Cleaned.
[2018.01.29 13:37:10.463] -
[2018.01.29 13:37:10.463] - INFO: Cleaning file [GOOD_test\летний отдых.docx.good]
[2018.01.29 13:37:10.468] - INFO: Cleaned.
[2018.01.29 13:37:10.469] -
[2018.01.29 13:37:10.469] - INFO: Cleaning file [GOOD_test\пленка.cdr.good]
[2018.01.29 13:37:10.475] - INFO: Cleaned.
[2018.01.29 13:37:10.476] - --------------------------------------------------------------------------------
[2018.01.29 13:37:10.476] - INFO: 11 infected files found.
[2018.01.29 13:37:10.476] - INFO: 10 file(s) cleaned.
[2018.01.29 13:37:18.588] - End
----------
один из файлов был поврежден (или модифицирован), поэтому не был успешно расшифрован.
добавлена расшифровка по варианту .PZDC.

Если у вас сохранились зашифрованные данным энкодером файлы, с расширением .GOOD, .CRYPT, .PZDC
обращайтесь за помощью в расшифровке файлов в техническую поддержку support@esetnod32.ru


Цитата
[2018.01.30 23:26:36.345] - Begin
[2018.01.30 23:26:36.346] -
[2018.01.30 23:26:36.347] - ....................................
[2018.01.30 23:26:36.348] - ..::::::::::::::::::....................
[2018.01.30 23:26:36.349] - .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT.. Win32/Filecoder.GPGCrypt
[2018.01.30 23:26:36.365] - .::EE::::EE:SS:::::::.EE....EE....TT...... Version: 1.0.0.0
[2018.01.30 23:26:36.367] - .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT...... Built: Jan 25 2018
[2018.01.30 23:26:36.368] - .::EE:::::::::::::SS:.EE..........TT......
[2018.01.30 23:26:36.369] - .::EEEEEE:::SSSSSS::..EEEEEE.....TT..... Copyright © ESET, spol. s r.o.
[2018.01.30 23:26:36.370] - ..::::::::::::::::::.................... 1992-2018. All rights reserved.
[2018.01.30 23:26:36.371] - ....................................
[2018.01.30 23:26:36.371] -
[2018.01.30 23:26:36.371] - --------------------------------------------------------------------------------

[2018.01.30 23:26:38.731] - INFO: Cleaning file [files\15092014 16_55_03.xls.pzdc]
[2018.01.30 23:26:38.771] - INFO: Cleaned.
[2018.01.30 23:26:38.772] -
[2018.01.30 23:26:38.772] - INFO: Cleaning file [files\32 ремонтный завод .xls.pzdc]
[2018.01.30 23:26:38.784] - INFO: Cleaned.
[2018.01.30 23:26:38.785] -
[2018.01.30 23:26:38.785] - INFO: Cleaning file [files\Cовещание от 26.09.2014г.rtf.pzdc]
[2018.01.30 23:26:38.797] - INFO: Cleaned.
[2018.01.30 23:26:38.797] -
[2018.01.30 23:26:38.797] - INFO: Cleaning file [files\inf.txt.pzdc]
[2018.01.30 23:26:38.809] - INFO: Cleaned.
[2018.01.30 23:26:38.811] -
[2018.01.30 23:26:38.811] - INFO: Cleaning file [files\keygpg.rar.pzdc]
[2018.01.30 23:26:38.822] - INFO: Cleaned.
[2018.01.30 23:26:38.824] -
[2018.01.30 23:26:38.824] - INFO: Cleaning file [files\readme.txt.pzdc]
[2018.01.30 23:26:38.838] - INFO: Cleaned.
[2018.01.30 23:26:38.839] -
[2018.01.30 23:26:38.885] - INFO: Cleaning file [files\Концепт uvs.txt.pzdc]
[2018.01.30 23:26:38.920] - INFO: Cleaned.
[2018.01.30 23:26:38.921] -
[2018.01.30 23:26:38.942] - INFO: Cleaning file [files\Правила поведения вахтеров.jpg.pzdc]
[2018.01.30 23:26:39.018] - INFO: Cleaned.
[2018.01.30 23:26:39.018] - --------------------------------------------------------------------------------
[2018.01.30 23:26:39.020] - INFO: 11 infected files found.
[2018.01.30 23:26:39.021] - INFO: 11 file(s) cleaned.
[2018.01.30 23:26:41.423] - End

собственно, при наличие secring.gpg расшифровка возможна для любого варианта:
*.paycrypt@gmail_com, *.keybtc@gmail_com, *.VAULT и другие, если шифрование было с помощью утилиты gpg.exe
Техническая поддержка support@esetnod32.ru (спасибо Максиму Лукоянову!) совместно с вирлабом ESET подготовила дешифраторы ESETFilecoderGpgCleaner для вариантов .GOOD/.CRYPT/.PZDC
для пострадавших от этих вариантов шифраторов.

Цитата
Запуск дешифратора необходимо производить через командную строку (Пуск - Все программы - Стандартные - Командная строка, для Windows 7 необходимо запускать командную строку от имени администратора).

Скопируйте файлы из архива, к примеру, в корень диска C:\.

В командной строке введите путь к папке, в которой находится декодер, например: cd c:\ и нажмите Enter.

Пример использования:

ESETFilecoderGpgCleaner.exe <имя файла или директории>

Для обработки одного файла - используйте " ESETFilecoderGpgCleaner.exe C:\the_it.pdf".
Пожалуйста, будьте внимательны и запишите имя файла "как есть" (с прописными и строчными буквами).
Для того, чтобы обработать все зашифрованные файлы, к примеру, в директории C:\photo и всех её подкаталогах, используйте " ESETFilecoderGpgCleaner.exe C:\photo"

В случае, если дешифратор не сработал, пришлите нам в support@esetnod32.ru лог файл, который создаётся в той же директории, откуда был запущен дешифратор (ESETFilecoderGpgCleaner.log).
____________________________________________________________­__________
+
еще хорошие новости:

есть расшифровка для paycrypt@gmail_com, unblck@gmail_com, unstyx@gmail_com, если шифрование было в период с 26.05.2014 по 28.06.2014 года, c использованием известных уже мастер-ключей StyxKey (StyxKey) и HckTeam (HckTeam)

С Вашей стороны нужны файл KEY.PRIVATE и пара зашифрованных файлов, если шифрование было в указанный период.


Цитата
  [2018.02.13 21:24:28.813] - [2018.02.13 21:24:28.814] -
   [2018.02.13 21:24:28.823] - INFO: Cleaning file [files\Вырезка из паспорта.doc.paycrypt@gmail_com]
   [2018.02.13 21:24:28.882] - INFO: Cleaned.
   [2018.02.13 21:24:28.883] -
   [2018.02.13 21:24:28.883] - INFO: Cleaning file [files\Разбрасыватель опилок.JPG.paycrypt@gmail_com]
   [2018.02.13 21:24:28.959] - INFO: Cleaned.
   [2018.02.13 21:24:28.960] - [2018.02.13 21:24:28.960] - INFO: 2 infected files found.
   [2018.02.13 21:24:28.962] - INFO: 2 file(s) cleaned.
   [2018.02.13 21:24:31.017] - End

   [2018.02.13 21:27:44.354] - [2018.02.13 21:27:44.354] -
   [2018.02.13 21:27:44.354] - INFO: Cleaning file [files\0QbPrKcKTEY.jpg.unblck@gmail_com]
   [2018.02.13 21:27:44.399] - INFO: Cleaned.
   [2018.02.13 21:27:44.400] -
   [2018.02.13 21:27:44.400] - INFO: Cleaning file [files\Сергей2.docx.unblck@gmail_com]
   [2018.02.13 21:27:44.413] - INFO: Cleaned.
   [2018.02.13 21:27:44.414] -
   [2018.02.13 21:27:44.414] - INFO: Cleaning file [files\ТЕЛЕФОНЫ ХИРУРГИЧЕСКОГО КОРПУСА.docx.unblck@gmail_com]
   [2018.02.13 21:27:44.424] - INFO: Cleaned.
   [2018.02.13 21:27:44.425] -
   [2018.02.13 21:27:44.425] - INFO: Cleaning file [files\Тех паспорт хирургии.pdf.unblck@gmail_com]
   [2018.02.13 21:27:44.505] - INFO: Cleaned.
   [2018.02.13 21:27:44.507] -
   [2018.02.13 21:27:44.507] - INFO: Cleaning file [files\Экстренные 17.04.2014.rar.unblck@gmail_com]
   [2018.02.13 21:27:44.607] - INFO: Cleaned.
   [2018.02.13 21:27:44.608] - [2018.02.13 21:27:44.609] - INFO: 5 infected files found.
   [2018.02.13 21:27:44.610] - INFO: 5 file(s) cleaned.
   [2018.02.13 21:27:46.360] - End
+
Цитата
[2018.04.12 10:25:49.766] - INFO: Looking for infected files...
[2018.04.12 10:25:49.766] - --------------------------------------------------------------------------------
[2018.04.12 10:25:49.766] -
[2018.04.12 10:25:49.766] - INFO: Cleaning file [10\Изменения по ЛК Армении.docx.unstyx@gmail_com]
[2018.04.12 10:25:49.777] - INFO: Cleaned.
[2018.04.12 10:25:49.778] -
[2018.04.12 10:25:49.778] - INFO: Cleaning file [10\Отраслевые сайты.docx.unstyx@gmail_com]
[2018.04.12 10:25:49.783] - INFO: Cleaned.
[2018.04.12 10:25:49.784] - --------------------------------------------------------------------------------
[2018.04.12 10:25:49.784] - INFO: 2 infected files found.
[2018.04.12 10:25:49.785] - INFO: 2 file(s) cleaned.
[2018.04.12 10:25:49.787] - End




passphrase к ключу
P-crypt (P-crypt) <anon@anon.com>0x5C63D713/0x591A1333 создан 01.03.2014 года.
к сожалению неизвестна, поэтому расшифровка файлов *.uncrpt@gmail_com на текущий момент невозможна.
1
Читают тему (гостей: 1)