Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

зашифровано с расширением *.sage , CryLocker / ransom_note: !HELP_SOS.hta

1
RSS
 
Влад vrate
Влад vrate
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 27.02.2017
Размещено 27.02.2017 22:54:31
24.02.2017 на почту поступило письмо. Был прикреплен архив Invoice.Ref.54895 внутри которого был JavaScripts
Запустив который, - были зашифрованы все файлы doc, xls, xml, jpg, avi, txt, db, rar..... и так далее. Вообщем кроме браузеров и пару установочных файлов - больше ничего полезного не осталось
Теперь все файлы получили расширение *.sage
и в каждой папке где зашифрован файл, появился новый житель, файл !HELP_SOS.hta, запускать который так и не рискнул
Прошу помощи у знатоков данного профиля.
Спасибо
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.02.2017 04:41:34
Влад,
добавьте несколько зашифрованных файлов в архиве, и образ автозапуска системы.
если сохранилось тело шифратора (или вложение из почты), вышлите в почту [email protected] в архиве, с паролем infected.
+
добавьте вместе с зашифрованными файлами записку о выкупе, наверняка в ней должна быть указана версия шифратора sage.
[ Как создать образ автозапуска? ]
 
Влад vrate
Влад vrate
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 27.02.2017
Размещено 01.03.2017 23:10:32
Цитата
santy написал:
Влад,
добавьте несколько зашифрованных файлов в архиве, и образ автозапуска системы.
если сохранилось тело шифратора (или вложение из почты), вышлите в почту [email protected] в архиве, с паролем infected.
+
добавьте вместе с зашифрованными файлами записку о выкупе, наверняка в ней должна быть указана версия шифратора sage.
Образ системы
http://rgho.st/6Jp6MQPnF
письмо с зашифроваными файлами и скриптом-шифровальщиком отправил на почту
 
Толстой Алекс
Толстой Алекс
Пользователь
Сообщений: 1
Регистрация: 22.04.2017
Размещено 23.04.2017 10:40:50
Присоединяюсь, очень нужен дешифратор
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.04.2017 04:50:15
@Влад vrate,

Цитата
Sage 2.0
Для этого вымогателя пока нет способа дешифровки данных.

Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик.

Опознан как

   ransomnote_filename: !HELP_SOS.hta
   ransomnote_url: http://7gie6ffnkrjykggd.onion/
   sample_extension: .sage
   sample_bytes: [0x28505 - 0x28509] 0xBEBA9E5A
https://id-ransomware.malwarehunterteam.com/identify.php?case=3af97157994233f97a4eb0bb35ef925ed8706d11


@Толстой Алекс,
добавьте несколько зашифрованных файлов в архиве, и образ автозапуска системы.
если сохранилось тело шифратора (или вложение из почты), вышлите в почту [email protected] в архиве, с паролем infected.
[ Как создать образ автозапуска? ]
 
1
Читают тему