Файлы зашифрованы с расширением wnx , Winnix Cryptor

1
RSS
После открытия письма все файлы на ПК зашифровались с расширением .wnx
Поиск по форумам не дал результата. Файлы прикрепил.
Изменено: Роман Клочко - 23.12.2016 07:15:02
Роман,
добавьте образ автозапуска для очистки системы
+
если сохранился первоисточник с шифратором: вложение из почты, скрипт, ссылка - вышлите в почту safety@chklst.ru с паролем infected
+
вопрос: откуда прилетел шифратор?
+
проверьте нет ли на зашифрованной системе папки gnupg

судя по зашифрованных файлам используется шифрование gnupg

Цитата
:pubkey enc packet: version 3, algo 1, keyid EA073ADFF32503F3
data: [4096 bits]
:encrypted data packet:
length: unknown
mdc_method: 2

File: E:\decrypt\DATA\wnx\1\Образцы\SQL_DB\selen_bak_log.ldf.wnx

Цитата
:pubkey enc packet: version 3, algo 1, keyid EA073ADFF32503F3
data: [4096 bits]
:encrypted data packet:
length: unknown
mdc_method: 2

File: E:\decrypt\DATA\wnx\1\Образцы\SQL_DB\selen_bak.mdf.wnx

Цитата
:pubkey enc packet: version 3, algo 1, keyid EA073ADFF32503F3
data: [4093 bits]
:encrypted data packet:
length: unknown
mdc_method: 2

File: E:\decrypt\DATA\wnx\1\Образцы\ывапвыапывапвыапвыапвыапывапывап­.png.wnx
Изменено: santy - 08.09.2016 09:28:10
При попытке расшифровать файл в GnuPG получаем:

Цитата
gpg: зашифровано ключом RSA с ID F32503F3
gpg: сбой расшифровки: секретный ключ не найден

File: E:\decrypt\DATA\wnx\1\Образцы\SQL_DB\selen_bak_log.ldf.wnx
Time: 08.09.2016 10:31:35 (08.09.2016 3:31:35 UTC)

значит, используется шифрование GnuPG, в этом случае вероятность расшифровки близка к нулю,
без приватного ключа (secring.gpg)  RSA с ID F32503F3, эти файлы не расшифровать
----------
крайне интересно получить указанный выше первоисточник.
Изменено: santy - 08.09.2016 06:41:05
Цитата
santy написал:
infected
Нашел на ПК как сам архив gnupg так и так и папку с таким же названием, отправил на почту safety@chklst.ru и прикреплю к сообщению
ок.
шифровали файлы публичный ключом из пары созданной на вашей машине.
а ваш secring.gpg по всей вероятности зашифрован публичным ключом вирусописателей

Цитата
gpg: ключ 18422098: импортирован открытый ключ "winnix <6214ssxpvo@sigaint.org>"
gpg: Всего обработано: 1
gpg:                 импортировано: 1

- Public keyring updated. -

File: E:\decrypt\DATA\wnx\2\gnupg1\gnupg\gnupg\pubring.gpg
Time: 08.09.2016 16:57:02 (08.09.2016 9:57:02 UTC)

если, это продолжатели дела paycrypt/keybtc/vault то алгоритм у них уже отработанный.
надо искать на диске среди удаленных файл secring.gpg
ну и так же источник шифратора: js из почты, или bat файлы в %TEMP% посмотрите, возможно там что-то осталось после активности шифратора.
--------
secring.gpg в этой папке (gnupg) нулевой, естественно что они затерли этот ключ.

шифровали secring.gpg они подключом 0x91A30D28, по крайне мере, pubring.bak они зашифровали своим подключом.

Цитата
gpg: зашифровано 4096-битным ключом RSA с ID 91A30D28, созданным 25.07.2016
     "winnix <6214ssxpvo@sigaint.org>"
gpg: сбой расшифровки: секретный ключ не найден

File: E:\decrypt\DATA\wnx\2\gnupg1\gnupg\gnupg\pubring.bak.wnx
Time: 08.09.2016 17:15:36 (08.09.2016 10:15:36 UTC)
Изменено: santy - 08.09.2016 13:16:53
по содержимому записки о выкупе:

Цитата
Your files have been safely encrypted on this PC: photos, documents, databases, etc. Encryption was produced using a unique public key generated for this computer. To decrypt files you need to obtain the private key.

The only way to get the private key is to pay 4 BTC. You saved it on qualified system administrator who could make your network safe and secure.

In order to decrypt the files send your bitcoins to the following address:

13gYXFxpzm7hAd4esdnJGt9JvYqyD1Y6by
интересно, что на указанный адрес в записке о выкупе уже был перевод
https://blockchain.info/ru/tx/6b899479e68e30955e4f3b2f79aecc3ac92ca1f527bd9d13a­d7544016d99ab0d
Время поступления 2016-06-30 10:26:06

Цитата
1FibYnphZhNn5Yed1rY6cRkNJjNE2sFFoD
1Fq1XiGdJizDfJ25yqyGWbaFmx7G1zPkRH 0.0498757 BTC
13gYXFxpzm7hAd4esdnJGt9JvYqyD1Y6by 2.05 BTC
Изменено: santy - 10.09.2016 01:18:48
Сегодня отправлю все архивы папки gnupg с зараженных ПК. Активность низкая у вируса, значит и дешифратор ждать в ближайшее время не стоит?
Папка есть только на 2 ПК из 3 зараженных. Там где открыли письмо (ранее отправил) и на сервере. Отправил сегодня.
да, сейчас смотрю.
по используемым ключам для шифрования немного позже отпишусь, надо сравнить ключи.
но так же прошу вас посмотреть папку Temp юзера, под которым было шифрование.
интересуют все файлы (js, bat, cmd, exe, vbs, и другие) которые там есть на момент шифрования.
так же можно отдельным архивом выслать. с каждой машины.
+
по второму и третьему компам (если есть), так же надо несколько зашифрованных файлов.
-------
по письмам повторю, что не похоже они на ваш шифратор, там скорее всего задействовано распространение другого шифратора. Locky
Изменено: santy - 12.09.2016 15:27:30
1
Читают тему (гостей: 8)