Размещено 29.06.2016 01:30:02
Аналогичная ситуация. Открыли в спешке письмо, в результате все файлы зашифровались. Интересная особенность, файлы в корзине не зашифровались. Все документы (pdf, jpg, doc и т.д.) что там были остались не тронутыми. Тут выкладывали дешифровщик выше по теме. Часть файлов он все-таки расшифровал.
Есть копии файлов зашифрованных и после дешифрации. а так же копия письма, скрипта, архива. После дешифровки файлы расширение не поменяли, но тем не менее если убрать ".enigma" они начинают открываться. Тип файлов на расшифровку не влиюят. Есть расшифрованные pdf, jpg, doc, docx.
Почему дешифровщик не расшифровывает все файлы, только догадки. Сравнивал начало файлов нет системы. У каждого расширения он свой, и может повторяться в различных папках может нет. такое ощущение что алгоритм шифрования в процессе меняется. может в одной папке у файлов с одинаковым расширением различаться.
на сколько я понял вирус одноразового использования: запустился зашифровал, удалил теневые копии, удалил исполняемый файл. (исполняемый файл восстановить не удалось).
После запуска скрипта успели сделать несколько новых документов до моего прихода. Они остались так же не тронутыми.
P.S. Решил сравнить файлы зашифрованные до расшифровки и после запуска так называемого дешифровщика. Результат ошарашил. Файлы небыли зашифрованы. Поменялось расширение, но файл после переименовывания открывался.
Теперь остался вопрос по дешифровщику, при наличии файла "DESHIFRATOR.exe.unlock" он запускается и всегда выводит один результат, независимо от содержимого файла - количество файлов с расширением enigma и что они все дешифрованы, удаляешь файл он ругается на его отсутствие. Наличие ключа RSA тоже никоим образом не влияет, пробовал с своим (38) и с чужим (257), результат всегда один и тотже: шифрованные файлы без изменений.
Возможные выводы: почему вымогатели не могут расшифровать файл. Возможно попался файл действительно зашифрованный и дешифратора у них нет, шифрование происходит рандомно (у одного и того же расширения алгоритм разный судя по началу файла может быть одинаковый в разных папках и может не совпадать в одной и той же). ключ RSA на самом деле скорее всего только для входа на сайт. Выберите Вы другой файл, с расширением но не зашифрованный, возможно бы и "показали" что могут расшифровать. Не торопился бы я им платить...
P.P.S. Могу выслать файлы для анализа. Все таки расшифровать желание есть. Что от меня требуется?
Попробуйте сами у нескольких файлов восстановить расширение подряд по списку. Скорее всего наткнетесь на нормальные. Алгоритм таких файлов тоже рандомен. В одной папке могут быть почти все не зашифрованные файлы, а в другой могут оказаться все зашифрованные. Могут попадаться через 1 файл. Очень много незашифрованных файлов для вероятного существования настоящего дешифровщика.
Ваши мысли по данному поводу?
Есть копии файлов зашифрованных и после дешифрации. а так же копия письма, скрипта, архива. После дешифровки файлы расширение не поменяли, но тем не менее если убрать ".enigma" они начинают открываться. Тип файлов на расшифровку не влиюят. Есть расшифрованные pdf, jpg, doc, docx.
Почему дешифровщик не расшифровывает все файлы, только догадки. Сравнивал начало файлов нет системы. У каждого расширения он свой, и может повторяться в различных папках может нет. такое ощущение что алгоритм шифрования в процессе меняется. может в одной папке у файлов с одинаковым расширением различаться.
на сколько я понял вирус одноразового использования: запустился зашифровал, удалил теневые копии, удалил исполняемый файл. (исполняемый файл восстановить не удалось).
После запуска скрипта успели сделать несколько новых документов до моего прихода. Они остались так же не тронутыми.
P.S. Решил сравнить файлы зашифрованные до расшифровки и после запуска так называемого дешифровщика. Результат ошарашил. Файлы небыли зашифрованы. Поменялось расширение, но файл после переименовывания открывался.
Теперь остался вопрос по дешифровщику, при наличии файла "DESHIFRATOR.exe.unlock" он запускается и всегда выводит один результат, независимо от содержимого файла - количество файлов с расширением enigma и что они все дешифрованы, удаляешь файл он ругается на его отсутствие. Наличие ключа RSA тоже никоим образом не влияет, пробовал с своим (38) и с чужим (257), результат всегда один и тотже: шифрованные файлы без изменений.
Возможные выводы: почему вымогатели не могут расшифровать файл. Возможно попался файл действительно зашифрованный и дешифратора у них нет, шифрование происходит рандомно (у одного и того же расширения алгоритм разный судя по началу файла может быть одинаковый в разных папках и может не совпадать в одной и той же). ключ RSA на самом деле скорее всего только для входа на сайт. Выберите Вы другой файл, с расширением но не зашифрованный, возможно бы и "показали" что могут расшифровать. Не торопился бы я им платить...
P.P.S. Могу выслать файлы для анализа. Все таки расшифровать желание есть. Что от меня требуется?
Попробуйте сами у нескольких файлов восстановить расширение подряд по списку. Скорее всего наткнетесь на нормальные. Алгоритм таких файлов тоже рандомен. В одной папке могут быть почти все не зашифрованные файлы, а в другой могут оказаться все зашифрованные. Могут попадаться через 1 файл. Очень много незашифрованных файлов для вероятного существования настоящего дешифровщика.
Ваши мысли по данному поводу?
Изменено: Равиль Саттаров - 29.06.2016 01:42:44