Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

Файлы зашифрованы с расширением wnx , Winnix Cryptor

1
RSS
 
Роман Клочко
Роман Клочко
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 07.09.2016
Размещено 07.09.2016 22:53:16
После открытия письма все файлы на ПК зашифровались с расширением .wnx
Поиск по форумам не дал результата. Файлы прикрепил.
Изменено: Роман Клочко - 23.12.2016 07:15:02
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 08.09.2016 04:34:59
Роман,
добавьте образ автозапуска для очистки системы
+
если сохранился первоисточник с шифратором: вложение из почты, скрипт, ссылка - вышлите в почту [email protected] с паролем infected
+
вопрос: откуда прилетел шифратор?
+
проверьте нет ли на зашифрованной системе папки gnupg

судя по зашифрованных файлам используется шифрование gnupg

Цитата
:pubkey enc packet: version 3, algo 1, keyid EA073ADFF32503F3
data: [4096 bits]
:encrypted data packet:
length: unknown
mdc_method: 2

File: E:\decrypt\DATA\wnx\1\Образцы\SQL_DB\selen_bak_log.ldf.wnx

Цитата
:pubkey enc packet: version 3, algo 1, keyid EA073ADFF32503F3
data: [4096 bits]
:encrypted data packet:
length: unknown
mdc_method: 2

File: E:\decrypt\DATA\wnx\1\Образцы\SQL_DB\selen_bak.mdf.wnx

Цитата
:pubkey enc packet: version 3, algo 1, keyid EA073ADFF32503F3
data: [4093 bits]
:encrypted data packet:
length: unknown
mdc_method: 2

File: E:\decrypt\DATA\wnx\1\Образцы\ывапвыапывапвыапвыапвыапывапывап­.png.wnx
Изменено: santy - 08.09.2016 09:28:10
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 08.09.2016 06:34:58
При попытке расшифровать файл в GnuPG получаем:

Цитата
gpg: зашифровано ключом RSA с ID F32503F3
gpg: сбой расшифровки: секретный ключ не найден

File: E:\decrypt\DATA\wnx\1\Образцы\SQL_DB\selen_bak_log.ldf.wnx
Time: 08.09.2016 10:31:35 (08.09.2016 3:31:35 UTC)

значит, используется шифрование GnuPG, в этом случае вероятность расшифровки близка к нулю,
без приватного ключа (secring.gpg)  RSA с ID F32503F3, эти файлы не расшифровать
----------
крайне интересно получить указанный выше первоисточник.
Изменено: santy - 08.09.2016 06:41:05
[ Как создать образ автозапуска? ]
 
Роман Клочко
Роман Клочко
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 07.09.2016
Размещено 08.09.2016 12:44:34
Цитата
santy написал:
infected
Нашел на ПК как сам архив gnupg так и так и папку с таким же названием, отправил на почту [email protected] и прикреплю к сообщению
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 08.09.2016 13:01:52
ок.
шифровали файлы публичный ключом из пары созданной на вашей машине.
а ваш secring.gpg по всей вероятности зашифрован публичным ключом вирусописателей

Цитата
gpg: ключ 18422098: импортирован открытый ключ "winnix <[email protected]>"
gpg: Всего обработано: 1
gpg:                 импортировано: 1

- Public keyring updated. -

File: E:\decrypt\DATA\wnx\2\gnupg1\gnupg\gnupg\pubring.gpg
Time: 08.09.2016 16:57:02 (08.09.2016 9:57:02 UTC)

если, это продолжатели дела paycrypt/keybtc/vault то алгоритм у них уже отработанный.
надо искать на диске среди удаленных файл secring.gpg
ну и так же источник шифратора: js из почты, или bat файлы в %TEMP% посмотрите, возможно там что-то осталось после активности шифратора.
--------
secring.gpg в этой папке (gnupg) нулевой, естественно что они затерли этот ключ.

шифровали secring.gpg они подключом 0x91A30D28, по крайне мере, pubring.bak они зашифровали своим подключом.

Цитата
gpg: зашифровано 4096-битным ключом RSA с ID 91A30D28, созданным 25.07.2016
     "winnix <[email protected]>"
gpg: сбой расшифровки: секретный ключ не найден

File: E:\decrypt\DATA\wnx\2\gnupg1\gnupg\gnupg\pubring.bak.wnx
Time: 08.09.2016 17:15:36 (08.09.2016 10:15:36 UTC)
Изменено: santy - 08.09.2016 13:16:53
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 09.09.2016 12:42:27
по содержимому записки о выкупе:

Цитата
Your files have been safely encrypted on this PC: photos, documents, databases, etc. Encryption was produced using a unique public key generated for this computer. To decrypt files you need to obtain the private key.

The only way to get the private key is to pay 4 BTC. You saved it on qualified system administrator who could make your network safe and secure.

In order to decrypt the files send your bitcoins to the following address:

13gYXFxpzm7hAd4esdnJGt9JvYqyD1Y6by
интересно, что на указанный адрес в записке о выкупе уже был перевод
https://blockchain.info/ru/tx/6b899479e68e30955e4f3b2f79aecc3ac92ca1f527bd9d13a­d7544016d99ab0d
Время поступления 2016-06-30 10:26:06

Цитата
1FibYnphZhNn5Yed1rY6cRkNJjNE2sFFoD
1Fq1XiGdJizDfJ25yqyGWbaFmx7G1zPkRH 0.0498757 BTC
13gYXFxpzm7hAd4esdnJGt9JvYqyD1Y6by 2.05 BTC
Изменено: santy - 10.09.2016 01:18:48
[ Как создать образ автозапуска? ]
 
Роман Клочко
Роман Клочко
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 07.09.2016
Размещено 12.09.2016 13:56:57
Сегодня отправлю все архивы папки gnupg с зараженных ПК. Активность низкая у вируса, значит и дешифратор ждать в ближайшее время не стоит?
 
Роман Клочко
Роман Клочко
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 07.09.2016
Размещено 12.09.2016 15:16:17
Папка есть только на 2 ПК из 3 зараженных. Там где открыли письмо (ранее отправил) и на сервере. Отправил сегодня.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 12.09.2016 15:24:37
да, сейчас смотрю.
по используемым ключам для шифрования немного позже отпишусь, надо сравнить ключи.
но так же прошу вас посмотреть папку Temp юзера, под которым было шифрование.
интересуют все файлы (js, bat, cmd, exe, vbs, и другие) которые там есть на момент шифрования.
так же можно отдельным архивом выслать. с каждой машины.
+
по второму и третьему компам (если есть), так же надо несколько зашифрованных файлов.
-------
по письмам повторю, что не похоже они на ваш шифратор, там скорее всего задействовано распространение другого шифратора. Locky
Изменено: santy - 12.09.2016 15:27:30
[ Как создать образ автозапуска? ]
 
1
Читают тему